Odaily Planet Daily сообщило, что Squid опубликовал сообщение в X, в котором заявил, что инцидент не связан с ядром протокола и контрактами Squid; все пользователи Squid и интегрированные стороны не пострадали и не должны предпринимать никаких действий.
Сегодня на сетях Base и Ethereum был атакован сторонний модуль Gnosis Safe, в результате чего были утеряны примерно 3,2 миллиона долларов США. Уязвимый контракт, проверенный на Basescan, называется "SquidRouterModule", однако этот контракт не был создан, развернут или эксплуатируется Squid. Это сторонний продукт смарт-кошелька, который выбрал интеграцию Squid и других протоколов, и он не имеет никакого отношения к Squid.
Атака основана на том, что этот сторонний модуль принимает константную строку, предоставленную вызывающей стороной, в качестве доказательства безопасности сообщения; эта строка открыто видна в проверенном коде контракта. После ввода этой строки злоумышленник может выполнить произвольный массив calldata и произвольно похитить средства. Безопасный кошелек жертвы добавил этот уязвимый контракт в список доверенных Safe Module, что позволило ему распоряжаться любыми токенами внутри Safe без подписи. Собственный маршрутный контракт Squid (0xce16...D666) имеет другую архитектуру и не затронут; средства, авторизации и интеграции пользователей Squid полностью безопасны.
Ранние публичные отчеты могли упоминать «SquidRouter» в связи с проверкой контракта на Basescan; точная формулировка: был атакован сторонний контракт SquidRouterModule, а не Router-контракт Squid. Название этого контракта совпадает с названием Squid, но он не является частью кода Squid. Squid продолжает отслеживать ситуацию и обновит информацию в случае значительных изменений.