多家区块链安全机构披露,一个名为'SquidRouterModule'的第三方智能合约模块在以太坊及Base链上被恶意调用,导致86个Safe钱包在短短两小时内损失约320万美元资产。该合约虽以类似名称部署于Basescan,但已明确非由Squid团队开发或运营,其核心路由系统未受波及。
化名Fig的Squid联合创始人指出,涉事合约与项目本身无关联,其创建与部署方尚未查明。官方账号同步确认,核心路由架构保持独立,未遭受任何技术侵入。早期报道中提及的'SquidRouter'存在术语误用——实际受影响的为未经团队授权的第三方集成组件,虽共享名称却无技术关联。
分析显示,漏洞根源在于模块接受外部输入的固定字符串作为安全凭证。攻击者通过构造特定参数,在无需签名的情况下触发任意调用,从而控制目标钱包中的代币。攻击链采用Foundry框架构建的恶意合约,经由DelegateBundler路径伪装成授权方,通过Uniswap V3资金池执行未经授权交易。被提取资产随即转入攻击者预设的流动性池,兑换为名为"u"的无效代币,并最终转换为约307万枚DAI,存入指定地址。
初始资金来源为2.1枚ETH,经由混币协议处理,进一步增加追踪难度。此事件凸显当第三方模块被赋予过高权限时,即便Safe钱包具备多重签名机制,仍可能因可选模块的缺陷而面临资产失控风险。
尽管未影响Squid核心协议,此次事件揭示了第三方模块可能带来的深层安全隐患。对于机构用户与个人投资者而言,对模块权限的审查应提升至与跨链桥、托管服务同等重要地位。
命名相似性造成的误导尤为严重——即使项目方否认关联,仍会迅速引发市场恐慌。在去中心化金融生态中,名称混淆极易破坏用户信任,尤其涉及钱包控制权或跨链基础设施时更为敏感。据Safe实验室透露,部分受害账户疑似通过非官方渠道部署的集成方案创建,其操作方式尚不清晰,暗示存在绕过标准流程的风险。
值得注意的是,该模块已被安全机构提前标记为高风险类型,并纳入Safe防护盾的检测规则库。这表明本次攻击实为外部集成模块滥用所致,而非核心钱包系统或Squid主协议故障。然而,资产损失再次印证:一旦用户授权外部部署模块,其资产保护机制可能被完全规避。
本起事件成为2024年第四月行业重大安全案例之一。仅该月已有近30起安全事件发生,总损失突破6.3亿美元。这要求协议开发者不仅需确保自身代码经过严格审计,更应全面评估外围组件如模块、路由和集成接口带来的间接威胁。
跨链互操作领域持续处于高危状态,历史多次桥接攻击与消息传递异常表明,该环节仍是加密基础设施中最薄弱一环。即便核心系统完好,任何冠以知名项目名的合约都可能引发连锁反应,损害用户、交易对手及流动性提供者的信心。
对依赖Safe架构的交易所、基金及协议而言,关键启示在于:安全不应仅依赖多重签名机制。必须对每个启用的模块进行身份溯源、权限范围评估,并关闭非必要执行路径。在智能账户体系中,一个微小的模块漏洞足以绕开用户自认为的安全屏障,形成致命突破口。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.