Уязвимость в компоненте под названием SquidRouterModule позволила злоумышленнику похитить примерно 3,2 миллиона долларов из 86 кошельков Gnosis Safe, распределённых между ethereum и Base. Вся атака заняла около двух часов.
Компания по безопасности блокчейна Blockaid выявила взлом 25 мая. Украденные средства были быстро обменены на DAI через пулы Uniswap V3, открытые злоумышленником, и консолидированы в размере примерно 3,07 млн долларов США в один кошелек.
Вот в чем дело: эксплуатируемый модуль даже не входил в ядро протокола Squid. Это был сторонний аддон, что делает всю ситуацию одновременно менее удивительной и более тревожной.
Как работал эксплойт
Проблема, согласно Blockaid и PeckShield, заключалась в неправильной проверке идентичности внутри модуля. Модуль не проверял должным образом, кто именно его вызывал. Злоумышленник внедрил строки, предоставленные вызывающей стороной, чтобы выдать себя за авторизованных пользователей, эффективно обманув модуль и заставив его выполнять транзакции без согласия владельцев кошелька.
В активы, имитированные в ходе атаки, входили USDC, ENA и USDT. После изъятия все средства были направлены через Uniswap V3 и конвертированы в DAI.
Кошелек нападавшего, идентифицированный как 0xa447…54859, теперь содержит консолидированные средства. Первоначальное финансирование нападавшего поступило от Tornado Cash.
Squid быстро отдалился от инцидента, пояснив, что SquidRouterModule полностью независим от его основного протокола и контрактов. Компания заверила пользователей, что её основные операции остаются безопасными.
Знакомый паттерн в безопасности DeFi
Сторонние модули, позволяющие осуществлять неавторизованные транзакции без согласия владельца, являются известным вектором риска по крайней мере с 2020 года. Модульная архитектура, делающая кошельки Gnosis Safe мощными, является той же архитектурой, которая создает поверхность атаки.
SquidRouterModule был проверен на Basescan, что придаёт ему видимость легитимности. Но проверка на блокчейн-проводнике означает лишь то, что исходный код доступен для публичного чтения. Это не означает, что код был аудирован, протестирован в реальных условиях или не содержит критических недостатков.
Двухчасовой интервал между началом изъятия и консолидацией подчеркивает, насколько быстро средства могут перемещаться в DeFi после обнаружения уязвимости. К тому времени, как Blockaid отметил активность, злоумышленник уже завершил операцию и разместил средства в DAI.
Что это значит для инвесторов
Немедленная проблема проста: если у вас есть кошелек Gnosis Safe с включенным SquidRouterModule, вы должны немедленно отозвать его разрешения. Любой кошелек, предоставивший доступ этому модулю, потенциально находится под угрозой, независимо от того, был ли он целью именно этой атаки.
Использование Tornado Cash для первоначального финансирования и пулов Uniswap V3 для отмывания также вызывает постоянные вопросы о способности экосистемы DeFi реагировать на эксплойты в реальном времени. Как только средства попадают в сервис смешивания, их возврат становится экспоненциально сложнее, а консолидация атакующего в DAI означает, что эти средства можно относительно легко повторно использовать или перевести через мосты.
Основной протокол Squid, возможно, не затронут, но компании теперь предстоит объяснить, почему модуль, носящий её название, даже если он был разработан независимо, стал вектором кражи на миллионы долларов.