Squid ชี้แจงเกี่ยวกับการถูกโจมตีผ่านโมดูลจากบุคคลที่สาม โปรโตคอลหลักไม่ได้รับผลกระทบ

ตามรายงานอย่างเป็นทางการจาก Squid (@squidrouter) และการตรวจสอบของแพลตฟอร์มความปลอดภัยบนโซ่ Blockaid (@blockaid_) โมดูล Gnosis Safe ของบุคคลที่สามที่ชื่อ "SquidRouterModule" ได้รับการโจมตีช่องโหว่บนเครือข่าย Base และ Ethereum เมื่อไม่นานมานี้ โดยมีกระเป๋าเงิน Gnosis Safe ประมาณ 86 แห่งถูกขโมย ขาดทุนประมาณ 3.2 ล้านดอลลาร์สหรัฐ และโทเค็นที่ถูกขโมยได้ถูกแลกเป็น DAI ผ่านสระ Uniswap V3 ที่ผู้โจมตีควบคุม Squid ได้ชี้แจงอย่างชัดเจนว่า โมดูลนี้ไม่ได้ถูกพัฒนา ปรับใช้ หรือดำเนินการโดยพวกเขา แต่เป็นผลิตภัณฑ์ของบุคคลที่สามที่เลือกผสานรวม Squid โดยใช้ชื่อเดียวกันเท่านั้น และไม่มีความเกี่ยวข้องกับสัญญาการจัดเส้นทางหลักของ Squid (0xce16F69375520ab01377ce7B88f5BA8C48F8D666) จุดอ่อนของช่องโหว่อยู่ที่โมดูลบุคคลที่สามยอมรับสตริงคงที่ที่ผู้เรียกให้มาเป็นข้อมูลยืนยันความปลอดภัย ผู้โจมตีจึงใช้ข้อบกพร่องนี้เพื่อเรียกใช้ข้อมูลการเรียกใดๆ ก็ได้ และขโมยสินทรัพย์จาก Safe ของเหยื่อ เงินทุน การอนุญาต และการผสานรวมของผู้ใช้ Squid ยังคงปลอดภัย และทางทีมจะติดตามสถานการณ์อย่างต่อเนื่อง