Một lỗ hổng trong một thành phần gọi là SquidRouterModule cho phép kẻ tấn công rút khoảng 3,2 triệu USD từ 86 ví Gnosis Safe trải dài trên Ethereum và Base. Toàn bộ vụ trộm diễn ra trong khoảng hai giờ.
Công ty bảo mật blockchain Blockaid đã xác định vụ xâm nhập vào ngày 25 tháng Năm. Số tiền bị đánh cắp đã nhanh chóng được hoán đổi thành DAI thông qua các pool Uniswap V3 mà kẻ tấn công đã tạo ra, tập trung khoảng 3,07 triệu USD vào một ví duy nhất.
Đây là vấn đề: mô-đun bị khai thác thậm chí không phải là một phần của giao thức Squid cốt lõi. Đó là một phần bổ sung của bên thứ ba, khiến toàn bộ tình huống vừa ít bất ngờ hơn vừa đáng lo ngại hơn.
Cách cuộc khai thác hoạt động
Vấn đề, theo cả Blockaid và PeckShield, là việc xác thực danh tính không đúng cách trong module. Module không kiểm tra chính xác ai đang gọi nó. Kẻ tấn công đã chèn các chuỗi do người gọi cung cấp để giả mạo người dùng được ủy quyền, lừa module thực hiện các giao dịch mà không có sự đồng ý của chủ ví.
Các tài sản bị giả mạo trong cuộc tấn công bao gồm USDC, ENA và USDT. Sau khi bị rút hết, tất cả đều được chuyển qua Uniswap V3 và chuyển đổi thành DAI.
Ví của kẻ tấn công, được xác định là 0xa447…54859, hiện đang nắm giữ toàn bộ số tiền thu được. Nguồn vốn ban đầu của kẻ tấn công đến từ Tornado Cash.
Squid đã nhanh chóng tách mình ra khỏi sự việc, làm rõ rằng SquidRouterModule hoàn toàn độc lập với giao thức và hợp đồng cốt lõi của nó. Công ty đảm bảo với người dùng rằng các hoạt động chính của họ vẫn an toàn.
Một mô hình quen thuộc trong bảo mật DeFi
Các module bên thứ ba cho phép thực hiện giao dịch không được chủ sở hữu đồng ý đã là một vectơ rủi ro được biết đến kể từ ít nhất năm 2020. Kiến trúc mô-đun làm cho ví Gnosis Safe trở nên mạnh mẽ cũng chính là kiến trúc tạo ra bề mặt tấn công.
SquidRouterModule đã được xác minh trên Basescan, điều này mang lại cho nó vẻ ngoài hợp lệ. Nhưng việc xác minh trên nhà thám hiểm khối chỉ có nghĩa là mã nguồn có thể đọc được công khai. Nó không có nghĩa là mã đã được kiểm toán, thử nghiệm thực tế hoặc không có các lỗ hổng nghiêm trọng.
Khung thời gian hai giờ giữa lúc bắt đầu việc rút tiền và quá trình cố định cho thấy nguồn vốn có thể di chuyển nhanh thế nào trong DeFi ngay sau khi phát hiện lỗ hổng. Đến khi Blockaid phát hiện hoạt động này, kẻ tấn công đã hoàn tất thao tác và chuyển số tiền thu được vào DAI.
Điều này có nghĩa gì đối với các nhà đầu tư
Vấn đề cấp bách hiện tại rất rõ ràng: nếu bạn có ví Gnosis Safe với SquidRouterModule được kích hoạt, bạn nên thu hồi quyền truy cập của nó ngay lập tức. Bất kỳ ví nào đã cấp quyền truy cập cho module này đều có thể gặp rủi ro, bất kể liệu nó có phải là mục tiêu trong cuộc tấn công cụ thể này hay không.
Việc sử dụng Tornado Cash để tài trợ ban đầu và các pool Uniswap V3 để rửa tiền cũng đặt ra những câu hỏi liên tục về khả năng của hệ sinh thái DeFi trong việc phản ứng với các vụ khai thác lỗ hổng theo thời gian thực. Một khi quỹ đã chạm đến dịch vụ trộn, việc khôi phục trở nên khó khăn hơn gấp bội, và việc tập trung tiền của kẻ tấn công vào DAI có nghĩa là những khoản lợi nhuận này có thể được tái đầu tư hoặc chuyển đổi một cách tương đối dễ dàng.
Giao thức cốt lõi của Squid có thể không bị ảnh hưởng, nhưng công ty hiện đối mặt với thách thức trong việc giải thích tại sao một module mang tên nó, dù được phát triển độc lập, lại trở thành phương tiện cho vụ trộm cắp hàng triệu đô la.