- 名为 “SquidRouterModule” 的第三方 Gnosis Safe 模块存在漏洞,导致约 320 万美元被盗。
- 此次漏洞利用影响了以太坊和 Base 区块链上的 86 个钱包,攻击者在两小时内转走了资金。
- 跨链协议 Squid 澄清,该漏洞模块不属于其核心协议,以此与该事件撇清关系。
返回
Gnosis Safe 模块漏洞导致 86 个钱包损失 320 万美元
5 月 25 日,名为 “SquidRouterModule” 的第三方 Gnosis Safe 模块出现严重漏洞,导致攻击者从以太坊和 Base 网络上的 86 个钱包中转走了约 320 万美元的资产。
区块链安全公司 Blockaid 最先报告了这一事件,该公司在两小时内检测到了持续进行的漏洞利用行为。根据 Blockaid 的说法,攻击者利用了该模块中 executeSameChainActions() 函数的一个缺陷。这一漏洞使攻击者能够冒充授权代表,从受害者的钱包中执行任意代币交换,而无需额外的签名。
被盗资产包含多种代币,随后通过攻击者控制的 Uniswap V3 流动性池进行兑换,并汇总为价值约 307 万美元的 DAI 稳定币。此次攻击凸显了去中心化金融 (DeFi) 生态系统中与第三方模块和委托权限相关的日益增长的安全风险。
由于其名称与受漏洞影响的模块相关联,跨链协议 Squid 迅速做出反应,将其核心协议与此次攻击撇清关系。Squid 在一份公开声明中澄清,“SquidRouterModule” 是一款集成了 Squid 的第三方智能钱包产品,但并非由该公司构建、部署或运营。该公司表示:“准确的表述应该是:一个第三方的 SquidRouterModule 遭到攻击,而不是 Squid 的路由器合约。”这一事件强调了即使在协议核心合约保持安全的情况下,关联关系也可能带来潜在的声誉损害。
此次漏洞利用再次提醒人们 DeFi 领域安全性的复杂性,其中可组合性和第三方集成可能会引入不可预见的弱点。对于 Gnosis Safe 等多重签名钱包的用户来说,这强调了审查并理解授予任何第三方模块权限的紧迫性。截至 5 月 25 日协调世界时 (UTC) 14:30,被盗资金仍留在攻击者的钱包中,尚无进一步动向的迹象。
本文仅供参考,不构成投资建议。
