资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
安全模块攻击事件回顾
多家区块链安全公司披露,一个冠以"Squid"名称的第三方Safe模块在以太坊和Base链上遭到利用,约两小时内从86个Safe钱包中盗取约320万美元资产。该漏洞合约在Basescan上以"SquidRouterModule"名称验证,一度引发是否涉及跨链协议Squid的混淆。Squid团队声明该合约并非由其构建、部署或运营,其核心路由系统未受影响。
化名为Fig的Squid联合创始人在社交平台表示:"名为SquidRouterModule的合约与Squid无关,目前尚不确定编写或部署方。"项目官方账号同时确认核心路由在架构层面独立且未受波及。后续说明指出,早期公开报道中提及的"SquidRouter"存在技术表述偏差——受影响合约虽共享Squid名称,实为未经团队接触的第三方集成产品。
攻击实施机制解析
据Squid事件分析,该漏洞核心在于模块接受调用方提供的常量字符串作为消息安全证明。攻击者通过传递特定字符串,可在无需签名的状态下执行任意调用数据,支配受影响Safe钱包内的代币。攻击链显示:
攻击者采用基于Foundry的漏洞合约调用模块的DelegateBundler路径,伪装成各Safe钱包的授权委托方,通过Uniswap V3资金池触发未授权交易。目标资产随后被导入攻击者预设的Uniswap V3流动性池,兑换为名为"u"的无价值攻击者代币。区块链追踪数据显示,攻击者最终从流动性池撤出资金,整合为约307万枚DAI,现已转入特定钱包地址。
值得注意的是,攻击者初始启动资金2.1枚ETH源于混币协议。该事件揭示当Safe模块被授予宽泛执行权限时可能引发的重大风险:虽然Safe钱包设计需多重授权方可执行交易,但可选模块允许已批准智能合约代表钱包操作。若模块存在缺陷或恶意代码,可能直接危及钱包资产。
模块权限管理的警示
本次事件虽未破坏Squid核心协议,却暴露第三方模块可能引发的钱包层级隐蔽风险。对于DeFi用户与机构而言,模块权限审查需获得与跨链桥、智能合约及托管基础设施同等级别的重视。
合约命名带来的归属混淆尤需关注——即便项目方否认与模块的关联,仍会立即引发声誉风险。在DeFi领域,命名混乱可能迅速冲击市场信任,尤其当攻击涉及跨链基础设施或钱包权限时。Safe实验室首席执行官指出,受影响账户似乎未通过官方Safe钱包产品操作,其创建与管理方式尚不明确,推测可能通过外部部署的集成方案产生。
值得关注的是,Safe钱包已通过"Safe防护盾"功能呈现此类风险,该功能旨在标记潜在恶意或未验证模块及防护机制。据悉,受攻击模块此前已被安全机构标记为恶意模块并纳入风险检测规则集。这对钱包提供商、DeFi协议及用户具有重要区分意义:本次攻击显然关联第三方集成,而非Safe核心钱包系统或Squid核心路由器。然而损失表明,当用户或集成方案授予外部部署模块执行权限时,资产仍可能面临风险。
对DeFi安全生态的启示
此次攻击为DeFi安全态势严峻的年度再添案例。仅四月期间行业就发生约30起安全事件,损失超6.3亿美元。这要求协议方不仅要证明自身合约经过审计,还需确保外围模块、路由及集成组件不会形成间接风险暴露。
在跨链互操作性领域,由于多次跨链桥攻击与消息传递故障,该领域仍是加密基础设施中高风险类别。即使核心协议未受影响,任何冠以其名称的合约都可能给用户、交易对手及流动性合作伙伴带来混淆。
对于采用Safe基础架构的交易平台、基金及DeFi协议,核心启示在于操作层面:钱包安全不应止步于多重签名门槛。团队必须审查每个启用模块,核验部署方身份,理解权限范围,并移除非必要执行路径。在智能账户体系中,薄弱模块可能绕开用户自认为拥有的保护机制。
