Một module Gnosis Safe của bên thứ ba đã bị khai thác trên Ethereum và Base, rút khoảng 3,2 triệu đô la từ 86 Safes trong khoảng hai giờ, theo báo cáo của các công ty bảo mật Blockaid và PeckShield.
Hợp đồng bị lỗ hổng, được xác minh trên Basescan dưới tên "SquidRouterModule", không phải do giao thức cross-chain Squid xây dựng, triển khai hay vận hành.
"Hợp đồng có tên SquidRouterModule không liên quan đến Squid. Chúng tôi chưa biết ai đã viết hoặc triển khai nó," Fig, đồng sáng lập ẩn danh của Squid, viết trên X. Trang X chính thức của dự án cho biết thêm rằng router cốt lõi của nó hoàn toàn tách biệt về kiến trúc và không bị ảnh hưởng.
Cuộc khai thác hoạt động là do module chấp nhận một chuỗi hằng số do người gọi cung cấp làm bằng chứng rằng một tin nhắn là an toàn.
Việc truyền chuỗi đó đã cho phép kẻ tấn công thực thi dữ liệu cuộc gọi tùy ý (arbitrary calldata) và chi tiêu bất kỳ token nào được giữ trong Safes của nạn nhân mà không cần chữ ký, theo Squid.
Kẻ tấn công đã triển khai các hợp đồng khai thác dựa trên Foundry, gọi đường dẫn DelegateBundler của module, mạo danh các đại biểu được ủy quyền trên mỗi Safe và kích hoạt các giao dịch hoán đổi tùy ý thông qua các pool Uniswap V3, Blockaid viết.
Các tài sản mục tiêu đã được hoán đổi thông qua các pool Uniswap V3 do kẻ tấn công tạo ra thành một token vô giá trị do kẻ tấn công tạo ra có tên là "u." Kẻ tấn công sau đó đã rút thanh khoản khỏi các pool và hợp nhất số tiền thu được thành khoảng 3,07 triệu DAI, hiện đang được giữ trong một ví bắt đầu bằng "0xa447...54859," theo PeckShield.
Nguồn tài trợ ban đầu 2.1 ETH của kẻ khai thác đến từ Tornado Cash, PeckShield cho biết thêm.
Squid cho biết các báo cáo công khai ban đầu đề cập đến "SquidRouter" là không chính xác về mặt kỹ thuật. Hợp đồng này mang tên Squid nhưng là một sản phẩm của bên thứ ba đã chọn tích hợp với Squid cùng với các giao thức khác và không có liên hệ với đội ngũ, dự án viết.
DeFi đã ghi nhận hơn 770 triệu đô la thiệt hại vào năm 2026, riêng tháng 4 đã lập kỷ lục với khoảng 30 sự cố và hơn 630 triệu đô la bị rút ruột, bảng điều khiển dữ liệu của The Block cho thấy.
Mở rộng biểu đồ
Squid gần đây đã thông báo rằng họ đã huy động được 6 triệu đô la trong một vòng tài trợ chiến lược do North Island Ventures dẫn đầu, với sự tham gia của Ripple, Dialectic và Borderless.
Khả năng tương tác cross-chain từ lâu đã là một trong những lĩnh vực khó khăn nhất trong tiền điện tử, với việc lĩnh vực này đã trải qua nhiều vụ khai thác cầu nối (bridge exploits) và sự cố bảo mật trong những năm qua. Fig của Squid nói với The Block vào tuần trước rằng dự án đã hoàn thành chín cuộc kiểm toán bảo mật độc lập cho đến nay, không ghi nhận vụ khai thác nào và duy trì thời gian hoạt động 99,99%.
Khi được hỏi liệu Squid có đang tìm cách phục vụ các dự án đang đánh giá lại cơ sở hạ tầng cross-chain của họ sau các vấn đề ở những nơi khác trên thị trường hay không, Fig cho biết nền tảng này sẵn sàng đối thoại với các nhóm đang tìm kiếm kết nối an toàn.
Tuyên bố miễn trừ trách nhiệm: The Block là một cơ quan truyền thông độc lập cung cấp tin tức, nghiên cứu và dữ liệu. Tính đến tháng 11 năm 2023, Foresight Ventures là nhà đầu tư chính của The Block. Foresight Ventures đầu tư vào các công ty khác trong không gian tiền điện tử. Sàn giao dịch tiền điện tử Bitget là LP chủ chốt của Foresight Ventures. The Block tiếp tục hoạt động độc lập để cung cấp thông tin khách quan, có tác động và kịp thời về ngành công nghiệp tiền điện tử. Dưới đây là các công bố tài chính hiện tại của chúng tôi.
© 2026 The Block. Mọi quyền được bảo lưu. Bài viết này chỉ được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định được sử dụng làm lời khuyên pháp lý, thuế, đầu tư, tài chính hoặc các lời khuyên khác.
