Sebuah kelemahan dalam sesuatu yang dipanggil SquidRouterModule membenarkan penyerang mengambil kira-kira $3.2 juta daripada 86 dompet Gnosis Safe yang tersebar di atas ethereum dan Base. Keseluruhan pencurian mengambil masa kira-kira dua jam.
Syarikat keselamatan blok rantai Blockaid mengenal pasti pelanggaran itu pada 25 Mei. Dana yang dicuri dengan cepat ditukar menjadi DAI melalui kolam Uniswap V3 yang dibuka oleh penyerang, menggabungkan kira-kira $3.07 juta ke dalam satu dompet.
Ini perkara yang sebenarnya: modul yang dieksploitasi tidak sekaligus sebahagian daripada protokol Squid utama. Ia adalah tambahan pihak ketiga, yang menjadikan keseluruhan situasi ini kurang mengejutkan tetapi lebih menghairankan.
Bagaimana eksploit berfungsi
Masalahnya, menurut Blockaid dan PeckShield, adalah pengesahan identiti yang tidak betul di dalam modul tersebut. Modul tersebut tidak memeriksa dengan betul siapa yang sebenarnya memanggilnya. Penyerang menyuntikkan rentetan yang disediakan oleh pemanggil untuk menyamar sebagai pengguna yang diberi kebenaran, dengan berkesan menipu modul untuk melaksanakan transaksi tanpa persetujuan pemilik dompet.
Aset-aset yang disamarikan dalam serangan tersebut termasuk USDC, ENA, dan USDT. Setelah dicuri, semuanya diarahkan melalui Uniswap V3 dan ditukar menjadi DAI.
Dompet penyerang, yang dikenal sebagai 0xa447…54859, kini memegang hasil yang telah digabungkan. Pendanaan awal penyerang berasal dari Tornado Cash.
Squid bergerak pantas untuk menjauhkan diri daripada insiden tersebut, menegaskan bahawa SquidRouterModule adalah sepenuhnya bebas daripada protokol dan kontrak utamanya. Syarikat tersebut menjamin pengguna bahawa operasi utamanya tetap selamat.
Pola yang biasa dalam keselamatan DeFi
Modul pihak ketiga yang membolehkan transaksi tidak sah tanpa kebenaran pemilik telah menjadi vektor risiko yang diketahui sejak sekurang-kurangnya 2020. Arsitektur modular yang menjadikan dompet Gnosis Safe kuat adalah arsitektur yang sama yang menciptakan permukaan serangan.
SquidRouterModule telah disahkan di Basescan, yang memberikan kesan sah. Tetapi penyahkatan di pengembara blok hanya bermaksud kod sumber boleh dibaca secara awam. Ia tidak bermaksud kod tersebut telah diaudit, diuji ketat, atau bebas daripada kecacatan kritikal.
Jendela dua jam antara permulaan penarikan dan konsolidasi menunjukkan seberapa pantas dana boleh bergerak dalam DeFi sekali kerentanan ditemui. Semasa Blockaid menandakan aktiviti tersebut, penyerang telah selesai melaksanakan operasi dan menyimpan hasilnya dalam DAI.
Apa yang bermaksud ini kepada pelabur
Kekhawatiran segera adalah jelas: jika anda mempunyai dompet Gnosis Safe dengan SquidRouterModule diaktifkan, anda harus mencabut kebenaranannya segera. Mana-mana dompet yang memberikan akses modul ini berpotensi berisiko, tanpa mengira sama ada ia menjadi sasaran dalam serangan khusus ini atau tidak.
Penggunaan Tornado Cash untuk pendanaan awal dan kolam Uniswap V3 untuk pencucian dana juga menimbulkan soalan berterusan mengenai kemampuan ekosistem DeFi untuk menanggapi serangan secara masa nyata. Sekali dana mencapai perkhidmatan pencampuran, pemulihan menjadi jauh lebih sukar, dan penggabungan penyerang ke dalam DAI bermakna hasil tersebut boleh digunakan semula atau dipindahkan dengan mudah.
Protokol utama Squid mungkin tidak terjejas, tetapi syarikat kini menghadapi cabaran untuk menjelaskan mengapa modul yang membawa nama nya, walaupun dibangunkan secara berasingan, menjadi vektor bagi pencurian berjumlah jutaan dolar.