Вада в чомусь під назвою SquidRouterModule дозволила зловмиснику вивести приблизно 3,2 мільйона доларів США з 86 гаманців Gnosis Safe, розподілених по ethereum та Base. Вся крадіжка тривала близько двох годин.
Фірма з безпеки блокчейну Blockaid виявила порушення 25 травня. Вкрадені кошти швидко були обміняні на DAI через пули Uniswap V3, які атакував, консолідувавши близько 3,07 мільйона доларів США в один гаманець.
Ось у чому справа: експлуатований модуль навіть не був частиною ядра протоколу Squid. Це був сторонній додаток, що робить всю ситуацію одночасно менш дивною та більш тривожною.
Як працював експлойт
Проблема, за даними Blockaid та PeckShield, полягала у неправильній перевірці ідентичності всередині модуля. Модуль не перевіряв правильно, хто саме його викликав. Зловмисник ввів рядки, надані викликаючою стороною, щоб імітувати авторизованих користувачів, ефективно обманувши модуль і змусивши його виконувати транзакції без згоди власників гаманця.
Активи, що були імітовані під час атаки, включають USDC, ENA та USDT. Після виведення всі кошти були направлені через Uniswap V3 і конвертовані в DAI.
Гаманець нападника, ідентифікований як 0xa447…54859, тепер містить консолідовані кошти. Початкове фінансування нападника надійшло з Tornado Cash.
Squid швидко віддалився від інциденту, пояснивши, що SquidRouterModule повністю незалежний від його основного протоколу та контрактів. Компанія забезпечила користувачів, що її основні операції залишаються безпечними.
Знайомий шаблон у безпеці DeFi
Модулі сторонніх розробників, що дозволяють несанкціоновані транзакції без згоди власника, є відомим вектором ризику щонайменше з 2020 року. Модульна архітектура, яка робить гаманці Gnosis Safe потужними, є тією самою архітектурою, що створює поверхню атаки.
SquidRouterModule було перевірено на Basescan, що надає йому вигляд легітимності. Але перевірка на блок-досліднику означає лише те, що вихідний код доступний для публічного читання. Це не означає, що код був аудитований, перевірений на міцність або не містить критичних недоліків.
Двогодинний проміжок між початком виведення та консолідацією підкреслює, наскільки швидко кошти можуть переміщатися в DeFi після виявлення вразливості. Коли Blockaid виявив активність, атакувальник вже завершив операцію та розмістив отримані кошти в DAI.
Що це означає для інвесторів
Найважливіша проблема проста: якщо у вас є гаманець Gnosis Safe з увімкненим SquidRouterModule, ви повинні негайно скасувати його дозволи. Будь-який гаманець, який надав цьому модулю доступ, потенційно під загрозою, незалежно від того, чи був він ціллю цієї конкретної атаки.
Використання Tornado Cash для початкового фінансування та пули Uniswap V3 для відмивання також викликає постійні питання щодо здатності екосистеми DeFi реагувати на експлуатації в реальному часі. Після того як кошти потрапляють на сервіс змішування, відновлення стає експоненційно складнішим, а консолідація зловмисника в DAI означає, що ці кошти можна легко повторно використати або перевести.
Основний протокол Squid може залишитися незатронутим, але компанія тепер стикається з викликом пояснити, чому модуль, що несе її назву, навіть якщо розроблений незалежно, став вектором крадіжки на мільйони доларів.