一個稱為 SquidRouterModule 的漏洞允許攻擊者從分佈於以太坊和 Base 上的 86 個 Gnosis Safe 錢包中竊取約 320 萬美元,整個盜竊過程耗時約兩小時。
區塊鏈安全公司 Blockaid 於 5 月 25 日發現此次入侵。攻擊者透過其開設的 Uniswap V3 池,迅速將被盜資金兌換為 DAI,並將約 $3.07 百萬集中至單一錢包。
事實是:被利用的模組根本不是 Squid 協議的核心部分,而是一個第三方外掛,這使得整個情況既不那麼令人意外,又更加令人擔憂。
漏洞如何運作
根據 Blockaid 和 PeckShield 的說法,問題在於模組內的身份驗證不當。該模組未正確檢查實際調用者身份。攻擊者注入了由調用者提供的字串,冒充授權用戶,從而騙取模組在未獲得錢包所有者同意的情況下執行交易。
此次攻擊中涉及的仿冒資產包括 USDC、ENA 和 USDT。資金被提取後,全部通過 Uniswap V3 轉換為 DAI。
攻擊者的錢包,識別為 0xa447…54859,現已持有整合後的收益。攻擊者的初始資金來自 Tornado Cash。
Squid 迅速與該事件劃清界線,明確表示 SquidRouterModule 與其核心協議和合約完全獨立。公司向用戶保證,其主要運營仍保持安全。
DeFi 安全中常見的模式
自2020年以來,允許在未經所有者同意的情況下進行未授權交易的第三方模組一直是一個已知的風險向量。使 Gnosis Safe 錢包強大的模組化架構,也正是創造攻擊面的同一架構。
SquidRouterModule 已在 Basescan 上完成驗證,這為其披上了一層合法性的外衣。但於區塊探索者上完成驗證僅代表原始碼可公開讀取,並不表示該代碼已通過審計、經過實戰測試或不存在關鍵缺陷。
從資金開始抽離到 Consolidation 的兩小時窗口期,凸顯了在 DeFi 中一旦發現漏洞,資金移動有多迅速。當 Blockaid 發出警報時,攻擊者已完成操作,並將所得資金存入 DAI。
這對投資者意味著什麼
當前的緊急關注點很明確:如果您擁有啟用了 SquidRouterModule 的 Gnosis Safe 錢包,請立即撤銷其權限。任何授予此模組存取權限的錢包都可能面臨風險,不論該錢包是否在此次特定攻擊中被針對。
使用 Tornado Cash 進行初始資金注入,並使用 Uniswap V3 池進行洗錢,也引發了關於 DeFi 生態系統能否實時應對攻擊的持續疑問。一旦資金進入混合服務,追回難度將呈指數級上升,而攻擊者將資金集中至 DAI,意味著這些收益可以相對輕鬆地重新部署或跨鏈轉移。
Squid 的核心協議可能未受影響,但公司現在面臨的挑戰是解釋為何一個以它命名的模組(即使獨立開發)成為了數百萬美元盜竊的途徑。