资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
在短短两小时内,以太坊和Base链上的86个钱包被盗后,Squid迅速强调,此次涉及300万美元资金的攻击事件针对的是一个名为SquidRouterModule的第三方Gnosis Safe模块,而非其核心跨链路由合约。
事件概要
安全公司Blockaid监测到一次针对SquidRouterModule的活跃攻击,影响了86个Gnosis Safe钱包。攻击者盗取了约300万至320万美元的资金,并通过Uniswap将其兑换为DAI。漏洞根源在于一个固定的“消息安全”字符串检查机制,被攻击者重复利用。Squid表示,其主路由合约(链上标识为0xce16F...D666)及用户资金未受影响。
攻击如何发生
根据链上安全公司Blockaid的分析,攻击围绕部署在以太坊和Base链上的一个名为SquidRouterModule的Gnosis Safe模块展开。该模块被部分多签钱包所有者用于路由涉及Squid及其他协议的跨链交易。
Blockaid报告称,攻击者在大约两小时内从86个Gnosis Safe钱包中抽走资金,总损失约300万至320万美元,随后将所得资产汇集至一个持有约307万DAI的单一地址。
据总结,被盗代币通过攻击者设置的自定义Uniswap V3池被兑换为DAI,随后攻击者将盗取的资金汇总至一个钱包,以简化洗钱流程。
核心漏洞存在于SquidRouterModule的“消息安全”逻辑中:该模块简单地接受调用者提供的一个固定字符串,作为消息有效的证明。这意味着任何能够查看合约代码的人都可以复制该字符串并传递任意调用数据。
攻击者利用了这一公开的固定字符串验证机制,从受影响的Safe中执行任意调用,实质上在未经所有者确认的情况下,获得了从多签钱包转移资产的权限。
为何Squid急于与核心路由器撇清关系
Squid在官方声明中明确表示:“此次事件与Squid的核心协议及合约无关”,并强调其主路由合约“未涉及任何恶意交易”。
该团队进一步澄清,SquidRouterModule“并非由其开发、部署或运营;该名称是第三方在集成Squid时独立选择的”,且该模块完全处于核心路由器的架构之外。团队强调,用户资金、现有授权及协议级集成仍保持安全,“Squid的核心跨链路由功能未受影响”,并将持续监控事态并与安全公司保持协作。
尽管如此,事件的影响依然负面。尽管攻击范围仅限于一个存在疏漏的Safe模块,且其与Squid项目的唯一实质关联仅为品牌名称及其将Squid作为多个集成路由器之一使用,但媒体报道仍不可避免地会将“Squid”与“黑客攻击”相关联。
更广泛的启示
安全研究人员长期以来一直警告,Gnosis Safe的强大功能附带一个注意事项:如果连接到Safe的任何模块逻辑存在缺陷,它可以在无需所有者确认的情况下执行交易。这正是本次事件中固定字符串检查被绕过后所发生的情况。
对于更广泛的跨链及钱包扩展生态系统而言,SquidRouterModule事件再次具体表明,外围模块中的可组合性加上松懈的安全假设,可能会在协议自身合约和审计范围之外开辟攻击面。
这也凸显了像Squid这样的基础设施团队所面临的一个严峻现实:即使自身的合约安全无误,如果第三方封装模块未能遵守基本的安全规范,仍可能将你的品牌拖入攻击事件的新闻头条中。
