同時關聯該項目與事件的快訊
慢霧創始人餘弦在 X 平臺發文解讀 Squid 安全事件,他表示抽樣發現相關 Safe 錢包都是單籤,owner 也都不一樣,但問題不在私鑰,問題在這些 Safe 地址用到的如圖模塊(SquidRouterModule)存在漏洞,攻擊者可以僞造消息,輕易繞過相關驗證,發起後續的兌換操作,將目標 Safe 錢包裏的資金轉移走,此外餘弦還公佈了攻擊者獲利沉澱地址信息。此前消息,某第三方 Gnosis Safe 模塊在 Base 和以太坊上被利用,造成約 320 萬美元損失,受害者爲將該合約添加爲受信任 Safe Module 的86個 Gnosis Safe。該合約在 Basescan 上名爲 “SquidRouterModule”,隨後 Squid 澄清未受 Gnosis Safe 相關漏洞事件影響。
Saturn 基金會官方於 X 發文表示,已將 Squid 黑客事件相關地址列入黑名單並凍結了被盜資金。受影響用戶可在 Saturn 官方 Discord 服務器上提交工單。Saturn 的任何合約或基礎設施均未受此次事件影響。
Squid在 X 平臺發文表示,此次事件與 Squid 核心協議及合約無關,所有 Squid 用戶及集成方均未受影響,無需採取任何行動。今日 Base 與 Ethereum 網絡上一個第三方 Gnosis Safe 模塊遭到攻擊,損失約 320 萬美元。該漏洞合約在 Basescan 上驗證名稱爲"SquidRouterModule",但該合約並非由 Squid 構建、部署或運營,而是一個選擇集成 Squid 及其他協議的第三方智能錢包產品,且與 Squid 無聯繫。攻擊原理爲該第三方模塊接受調用者提供的常量字符串作爲消息安全證明,該字符串在已驗證合約代碼中公開可見,攻擊者輸入後即可執行任意 calldata 數組,隨意竊取資金。受害者的 Safe 錢包將該問題合約添加爲受信任 Safe Module,使該合約無需簽名即可支配 Safe 內任意代幣。Squid 自有路由合約 (0xce16...D666) 架構不同,未受影響,Squid 用戶資金、授權及集成均完全安全。早期公開報道或因 Basescan 上的合約驗證名稱提及"SquidRouter",準確表述應爲:第三方 SquidRouterModule 遭攻擊,而非 Squid 的 Router 合約。該合約名稱與 Squid 相同,但非 Squid 代碼。Squid 正持續監控事態,如有重大變化將更新信息。