Odaily Planet Daily đưa tin, Squid đã đăng bài trên nền tảng X cho biết sự kiện này không liên quan đến giao thức và hợp đồng cốt lõi của Squid, tất cả người dùng và đối tác tích hợp của Squid đều không bị ảnh hưởng và không cần thực hiện bất kỳ hành động nào.
Hôm nay, một module Gnosis Safe bên thứ ba trên mạng Base và Ethereum đã bị tấn công, gây thiệt hại khoảng 3,2 triệu USD. Hợp đồng lỗ hổng được xác minh trên Basescan với tên "SquidRouterModule", nhưng hợp đồng này không được Squid xây dựng, triển khai hoặc vận hành, mà là một sản phẩm ví thông minh bên thứ ba chọn tích hợp Squid và các giao thức khác, và không có liên quan gì đến Squid.
Nguyên lý tấn công là module bên thứ ba chấp nhận chuỗi hằng do người gọi cung cấp như bằng chứng bảo mật, chuỗi này có thể nhìn thấy công khai trong mã hợp đồng đã được xác minh; sau khi kẻ tấn công nhập vào, chúng có thể thực thi bất kỳ mảng calldata nào để đánh cắp tài sản tùy ý. Ví dụ Safe của nạn nhân đã thêm hợp đồng có lỗ hổng này làm Safe Module đáng tin cậy, cho phép hợp đồng này kiểm soát mọi token trong Safe mà không cần chữ ký. Hợp đồng định tuyến riêng của Squid (0xce16...D666) có kiến trúc khác và không bị ảnh hưởng; tài sản, quyền hạn và tích hợp của người dùng Squid đều hoàn toàn an toàn.
Các báo cáo ban đầu có thể đã nhầm lẫn do tên hợp đồng được xác minh trên Basescan đề cập đến "SquidRouter". Phát biểu chính xác là: Hợp đồng SquidRouterModule của bên thứ ba đã bị tấn công, chứ không phải hợp đồng Router của Squid. Tên hợp đồng này trùng với Squid nhưng không phải là mã của Squid. Squid đang tiếp tục theo dõi tình hình và sẽ cập nhật thông tin nếu có thay đổi quan trọng.