SquidRouterModule adlı bir hata, Ethereum ve Base üzerinde dağılmış 86 Gnosis Safe cüzdanından yaklaşık 3,2 milyon dolar çalmaya izin verdi. Tüm soygun yaklaşık iki saat sürdü.
Blockchain güvenlik firması Blockaid, ihlali 25 Mayıs'ta tespit etti. Çalınan fonlar, saldırganın açtığı Uniswap V3 havuzları aracılığıyla hemen DAI'ye çevrildi ve yaklaşık 3,07 milyon dolar tek bir cüzdana birleştirildi.
Şu şey var: istismar edilen modül, Squid protokolünün temel bileşenlerinden biri değil, üçüncü parti bir eklentiydi; bu da durumun hem daha az şaşırtıcı hem de daha endişe verici olmasını sağlıyor.
Saldırının nasıl çalıştığı
Blockaid ve PeckShield'e göre sorun, modül içindeki yanlış kimlik doğrulamaydı. Modül, gerçekten çağırıyorsa kim olduğunu doğru şekilde kontrol etmiyordu. Saldırgan, yetkili kullanıcıları taklit etmek için çağırıcı tarafından sağlanan dizileri enjekte etti ve bu sayede modülü, cüzdan sahiplerinin onayı olmadan işlemler gerçekleştirmeye ikna etti.
Saldırıda yer alan sahte varlıklar USDC, ENA ve USDT idi. Tüm varlıklar, Uniswap V3 üzerinden yönlendirildi ve DAI'ye dönüştürüldü.
Saldırganın cüzdanı, 0xa447…54859 olarak tanımlanmış olup, birleştirilmiş kazançları şimdi tutmaktadır. Saldırganın ilk finansmanı Tornado Cash'ten gelmiştir.
Squid, olaydan hızlıca uzaklaştı ve SquidRouterModule'in temel protokolü ve sözleşmelerinden tamamen bağımsız olduğunu açıkladı. Şirket, temel operasyonlarının güvenli kaldığını kullanıcılarına garanti etti.
DeFi güvenliğinde tanıdık bir desen
2020 yılından beri, sahibin izni olmadan yetkisiz işlemler yapmayı sağlayan üçüncü taraf modüller, bilinen bir saldırı vektörü olmuştur. Gnosis Safe cüzdanlarını güçlü kılan modüler mimari, aynı zamanda saldırı yüzeyini de oluşturur.
SquidRouterModule, Basescan üzerinde doğrulandı, bu da ona bir meşruiyet kılıfı veriyor. Ancak bir blok explorer üzerinde doğrulama, kaynak kodunun halka açık olarak okunabilir olduğu anlamına gelir; kodun denetlendiği, test edildiği veya kritik hatalardan arındırıldığı anlamına gelmez.
Boşalma ve konsolidasyon arasındaki iki saatlik pencere, bir zafiyet bulunduğunda DeFi'de fonların ne kadar hızlı hareket edebileceğini gösteriyor. Blockaid, aktiviteyi işaretlediğinde, saldırgan zaten işlemi tamamlamış ve kazançları DAI'de durdurmuştu.
Bu, yatırımcılar için ne anlama geliyor
Hemen dikkat edilmesi gereken konu basit: SquidRouterModule etkinleştirilmiş bir Gnosis Safe cüzdanınıza sahipseniz, hemen izinlerini iptal etmelisiniz. Bu modüle erişim veren her cüzdan, bu spesifik saldırıda hedef alınıp alınmamasına bakılmaksızın potansiyel olarak risk altındadır.
İlk finansman için Tornado Cash ve para aklama için Uniswap V3 havuzlarının kullanılması, DeFi ekosisteminin saldırıları gerçek zamanlı olarak nasıl yanıtlayabileceğine dair sürekli soruları artırıyor. Fonlar bir karıştırma servisine ulaştığında, geri alma işlemi katlanarak zorlaşır ve saldırganın bu tutarları DAI'ye dönüştürmesi, bu kazançların nispeten kolayca yeniden kullanılmasını veya köprülenmesini sağlıyor.
Squid'un temel protokolü etkilenmeyebilir, ancak şirket şimdi adını taşıyan bir modülün, bağımsız olarak geliştirilmiş olsa bile, milyonlarca dolarlık bir hırsızlığın vektörü haline gelmesinin nedenini açıklamakla karşı karşıya.