针对近期引发广泛关注的数字资产安全事件,跨链协议Squid发布正式声明,指出此次损失源于一个由第三方独立开发并部署的合约模块,与Squid官方团队无直接关联。
声明中提到,被利用的合约名为"SquidRouterModule",其整个生命周期——包括设计、部署及运营——均由外部实体完成。该模块虽与Squid协议存在功能衔接,但在技术架构上保持完全隔离。
据披露,该模块基于Gnosis Safe构建,其漏洞存在于公共固定字符串的校验逻辑中。攻击者通过构造特定输入触发任意调用机制,进而操控受信任钱包内的资金转移。
由于这些钱包此前已将该模块设为可信状态,系统默认允许其发起操作而无需二次确认,导致攻击行为在无用户干预的情况下完成。
项目方强调,本次事件仅波及使用了该模块的特定钱包实例,其自身路由逻辑、用户资金存储机制以及授权体系均未受到任何侵扰。
这一结果对依赖Squid进行跨链操作的用户而言具有关键意义,表明协议底层仍具备高安全性。
该事件凸显出当前DeFi生态中广泛存在的嵌套式信任模型所蕴含的隐性威胁。即使核心协议本身安全,一旦用户接入的组件存在缺陷,仍可能引发连锁反应。
尤其对于采用多签钱包的用户,需重新审视每个关联模块的安全资质,避免因一键信任而引入不可控风险。
Squid未计划提供直接赔偿,因其并非漏洞责任主体。所有损失均源自用户自主选择集成第三方模块所致。
项目方呼吁用户主动审查钱包内已注册的模块,及时移除不再使用或未经充分审计的组件权限。
尽管核心协议保持稳定,但此次事件再次印证:去中心化系统的整体安全性取决于最脆弱的一环。用户的基础设施选择权越大,其安全责任也越重。
建议定期开展权限审计,并建立对第三方集成项的动态评估机制。
问:Squid自身的合约或用户资产是否受损?答:否。核心路由合约、资金托管及权限控制均未涉及。漏洞位于外部集成的Gnosis Safe模块。
问:资金如何被非法转移?答:攻击者利用模块中固定字符串验证环节的逻辑缺陷,执行未授权调用。因模块已被设为可信,无需额外签名即可完成转账。
问:是否应停止使用Squid或Gnosis Safe?答:不必。协议本身依然安全。但强烈建议用户对钱包中的所有附加模块进行审查,撤销可疑或废弃权限。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.