Odaily Planet Daily повідомляє, що Squid опублікував пост у X, в якому зазначив, що цей інцидент не має стосунку до ядра Squid та контрактів, і жоден користувач Squid чи інтегратор не постраждав — ніяких дій з їхнього боку не потрібно.
Сьогодні на мережах Base та Ethereum було атаковано сторонній модуль Gnosis Safe, збитки склали близько 3,2 млн доларів США. Уразливий контракт, перевірений на Basescan під назвою "SquidRouterModule", не був побудований, розгорнутий чи керований Squid; це сторонній продукт інтелектуального гаманця, який вибрав інтеграцію Squid та інших протоколів, і він не має жодного стосунку до Squid.
Принцип атаки полягає в тому, що цей сторонній модуль приймає константний рядок, наданий викликаючою стороною, як доказ безпеки повідомлення; цей рядок є відкрито видимим у перевіреному коді контракту. Після введення цього рядка зловмисник може виконати довільний масив calldata та викрасти кошти. Безпечний гаманець жертви додав цей вразливий контракт як довірений модуль Safe, що дозволило йому керувати будь-якими токенами в Safe без підпису. Власний маршрутний контракт Squid (0xce16...D666) має іншу архітектуру і не підверджений цій атакі — кошти, авторизації та інтеграції користувачів Squid повністю безпечні.
Ранні публікації або через перевірку контракту на Basescan з назвою "SquidRouter" могли викликати непорозуміння; точний опис: було атаковано сторонній SquidRouterModule, а не Router-контракт Squid. Назва цього контракту збігається з назвою Squid, але це не код Squid. Squid безперервно моніторить ситуацію і оновить інформацію у разі значних змін.