Moduł Gnosis Safe strony trzeciej został wykorzystany zarówno na Ethereum, jak i na Base, pozbawiając około 3,2 miliona dolarów 86 portfeli Safe w ciągu około dwóch godzin, poinformowały firmy zajmujące się bezpieczeństwem Blockaid i PeckShield.
Podatny kontrakt, zweryfikowany na Basescan pod nazwą "SquidRouterModule", nie został stworzony, wdrożony ani zarządzany przez protokół cross-chain Squid.
"Kontrakt o nazwie SquidRouterModule jest niezwiązany ze Squid. Nie wiemy jeszcze, kto to napisał ani wdrożył," napisał na X pseudonimowy współzałożyciel Squid, Fig. Jego główny router był architektonicznie oddzielny i nienaruszony, dodała oficjalna strona projektu na X.
Wykorzystanie luki było możliwe, ponieważ moduł akceptował stały ciąg znaków dostarczony przez wywołującego jako dowód, że wiadomość była bezpieczna.
Przekazanie tego ciągu znaków pozwoliło atakującemu na wykonanie dowolnych danych wywołania (calldata) i wydawanie wszelkich tokenów przechowywanych w Safe'ach ofiary bez podpisów, według Squid.
Atakujący wdrożył kontrakty exploitacyjne oparte na Foundry, które wywoływały ścieżkę DelegateBundler modułu, podszywając się pod autoryzowanych delegatów w każdym Safe i wyzwalając dowolne swapy poprzez pule Uniswap V3, napisał Blockaid.
Aktywa docelowe zostały wymienione za pośrednictwem pul Uniswap V3 zasianych przez atakującego na bezwartościowy token stworzony przez atakującego o nazwie "u". Atakujący następnie usunął płynność z pul i skonsolidował wpływy w kwocie około 3,07 miliona DAI, obecnie przechowywanej w portfelu zaczynającym się od "0xa447...54859", według PeckShield.
Początkowe finansowanie atakującego w wysokości 2,1 ETH pochodziło z Tornado Cash, dodał PeckShield.
Squid oświadczył, że wcześniejsze publiczne doniesienia odnoszące się do "SquidRouter" były technicznie niedokładne. Kontrakt nosi nazwę Squid, ale jest produktem strony trzeciej, który zdecydował się zintegrować ze Squid wśród innych protokołów i nie miał kontaktu z zespołem, napisał projekt.
DeFi odnotowało ponad 770 milionów dolarów strat w 2026 roku, przy czym sam kwiecień ustanowił rekord około 30 incydentów i ponad 630 milionów dolarów, które zostały wyprowadzone, pokazuje panel danych The Block.
Rozwiń wykres
Squid niedawno ogłosił, że pozyskał 6 milionów dolarów w strategicznej rundzie finansowania prowadzonej przez North Island Ventures, z udziałem Ripple, Dialectic i Borderless.
Interoperacyjność cross-chain od dawna jest jednym z najtrudniejszych obszarów w krypto, a sektor ten na przestrzeni lat doświadczył wielu exploitów mostów i incydentów bezpieczeństwa. Fig ze Squid powiedział The Block w zeszłym tygodniu, że projekt do tej pory ukończył dziewięć niezależnych audytów bezpieczeństwa, nie odnotował żadnych exploitów i utrzymywał 99,99% czasu działania.
Zapytany wtedy, czy Squid zamierza obsługiwać projekty ponownie oceniające swoją infrastrukturę cross-chain po problemach na innych rynkach, Fig powiedział, że platforma jest otwarta na rozmowy z zespołami poszukującymi bezpiecznej łączności.
Zastrzeżenie: The Block jest niezależnym medium, które dostarcza wiadomości, analizy i dane. Od listopada 2023 r. Foresight Ventures jest większościowym inwestorem The Block. Foresight Ventures inwestuje w inne firmy w przestrzeni krypto. Giełda kryptowalut Bitget jest głównym partnerem (LP) dla Foresight Ventures. The Block nadal działa niezależnie, aby dostarczać obiektywnych, wpływowych i aktualnych informacji o branży krypto. Oto nasze aktualne ujawnienia finansowe.
© 2026 The Block. Wszelkie prawa zastrzeżone. Ten artykuł ma charakter wyłącznie informacyjny. Nie stanowi on ani nie jest przeznaczony do wykorzystania jako porada prawna, podatkowa, inwestycyjna, finansowa ani żadna inna.
