SquidRouterModuleというものの不具合により、攻撃者がEthereumとBaseにまたがる86のGnosis Safeウォレットから約320万ドルを不正に奪い取った。この一連の攻撃は約2時間で完了した。
ブロックチェーンセキュリティ企業Blockaidは5月25日にこの不正アクセスを特定しました。攻撃者が開設したUniswap V3プールを通じ、盗まれた資金は迅速にDAIに交換され、約307万ドルが1つのウォレットに集約されました。
重要な点は、悪用されたモジュールがSquidプロトコルのコア部分ではなく、サードパーティ製のアドオンだったということです。これは状況をそれほど驚くべきでなく、一方でより深刻にしています。
この攻撃の仕組み
BlockaidおよびPeckShieldによると、問題はモジュール内の不適切な識別検証であった。モジュールは、実際にそれを呼び出したユーザーを適切に確認しなかった。攻撃者は、呼び出し元が提供した文字列を注入し、認可されたユーザーを装い、ウォレット所有者の同意なしに取引を実行させるようにモジュールを欺いた。
攻撃に関与した偽装資産にはUSDC、ENA、USDTが含まれていました。資金が引き出された後、すべてUniswap V3を経由してDAIに変換されました。
攻撃者のウォレット(0xa447…54859)には、合計された収益が保管されています。攻撃者の初期資金はTornado Cashから供給されました。
Squidは迅速にこの出来事から距離を置き、SquidRouterModuleはそのコアプロトコルや契約とは完全に独立していることを明確にした。同社は、主要な運用が安全であることをユーザーに保証した。
DeFiセキュリティにおけるなじみ深いパターン
所有者の同意なしに不正な取引を可能にするサードパーティモジュールは、少なくとも2020年から既知の攻撃ベクトルでした。Gnosis Safeウォレットを強力にするモジュラー構造は、攻撃面を生み出す同じ構造です。
SquidRouterModuleはBasescanで検証され、正当性の仮面を纏っています。しかし、ブロックエクスプローラーでの検証とは、ソースコードが公開されて読み可能であることを意味するだけで、コードが監査され、試験され、重大な欠陥がないことを保証するものではありません。
ドレインの開始とコンソリデーションの間の2時間の窓口は、脆弱性が発見された後、DeFiで資金がいかに迅速に移動するかを示している。Blockaidがその活動を警告した頃には、攻撃者は既に操作を完了し、収益をDAIに移動させていた。
これは投資家にとって何を意味するか
直ちに懸念される点は明確です:SquidRouterModuleが有効なGnosis Safeウォレットをお持ちの場合は、直ちにその権限を削除してください。このモジュールへのアクセスを許可したすべてのウォレットは、今回の攻撃の標的となったかどうかにかかわらず、潜在的なリスクにさらされています。
初期資金調達にTornado Cashを、洗浄にUniswap V3プールを使用することは、DeFiエコシステムが不正行為に対してリアルタイムで対応できるかどうかについて、継続的な疑問を投げかけています。資金がミキシングサービスに到達すると、回収は飛躍的に困難になり、攻撃者がその資金をDAIに統合したことで、それらの収益を比較的容易に再投資またはブリッジすることが可能になります。
Squidのコアプロトコルは影響を受けない可能性があるが、同社は、たとえ独立して開発されたモジュールであっても、自社の名前を冠したものが数百万ドルの盗難の経路となった理由を説明するという課題に直面している。