Odaily星球日報によると、SquidはXプラットフォームで、今回のイベントはSquidのコアプロトコルおよび契約とは無関係であり、すべてのSquidユーザーおよび統合先に影響はなく、任何の対応は必要ないと発表しました。
本日、BaseおよびEthereumネットワーク上で、第三者のGnosis Safeモジュールが攻撃を受け、約320万ドルの損失が発生しました。この脆弱性のあるコントラクトはBasescan上で「SquidRouterModule」として検証されていますが、このコントラクトはSquidによって構築、デプロイ、または運営されたものではなく、Squidおよび他のプロトコルを統合する第三者のスマートウォレット製品であり、Squidとは一切関係ありません。
攻撃の原理は、このサードパーティモジュールが呼び出し元から提供される定数文字列をメッセージのセキュリティ証明として受け入れることにあります。この文字列は、検証済みのコントラクトコード内で公開されており、攻撃者がこれを入力することで、任意のcalldata配列を実行し、資金を不正に奪取できます。被害者のSafeウォレットは、この脆弱性を持つコントラクトを信頼されたSafeモジュールとして追加したため、署名なしでSafe内の任意のトークンを操作できる状態となりました。ただし、Squidの独自ルーティングコントラクト(0xce16...D666)はアーキテクチャが異なり、影響を受けません。Squidユーザーの資金、認証、統合はすべて安全です。
早期の報道では、Basescan上のコントラクト検証名に「SquidRouter」と記載されていたため、SquidのRouterコントラクトが攻撃されたと誤解されましたが、実際には第三者のSquidRouterModuleが攻撃されたものです。このコントラクト名はSquidと同一ですが、Squidのコードではありません。Squidは状況を継続して監視しており、重大な変化があれば情報を更新します。