2026年5月25日,全球区块链监测系统识别出一起针对Base与以太坊生态的协同攻击,造成86个Gnosis Safe钱包在两小时内累计损失约320万美元数字资产。经溯源调查,攻击源头指向一个名为"SquidRouterModule"的智能合约,其名称与主流Squid Router网络高度相似,引发社区广泛误认。
PeckShield与Blockaid联合披露,攻击者首先通过TornadoCash获取2.1枚ETH作为初始跳板,随后借助UniswapV3流动性池将资金迅速兑换为近300万枚DAI代币。相关涉事地址已由安全机构公开,用于后续链上追踪。
分析显示,攻击者利用该合约中的权限配置漏洞,成功转移价值约300万美元的资产,并最终注入以0xA447开头的特定钱包。此次攻击的关键在于,被入侵的钱包此前已赋予该模块扩展控制权,导致资产转移无需签名即可执行,实现近乎瞬时的资金抽离。
事件暴露出一个由第三方开发者部署的Gnosis Safe兼容模块的安全隐患。尽管该"SquidRouterModule"已在Basescan上完成验证,但其核心逻辑存在严重漏洞:允许调用方提交任意不可变字符串作为身份验证依据。
由于该字符串在开源代码中明文可见,攻击者可轻易构造伪造请求绕过安全校验。一旦用户将此模块标记为可信来源,其控制的Gnosis Safe账户即面临完全暴露风险。值得注意的是,官方Squid Router项目架构与此无关,未受任何影响。
面对公众质疑,官方Squid Router社交账号立即发布正式回应,明确指出本次事件涉及的模块并非由其团队创建、部署或维护。该模块实为某独立钱包服务提供商所开发,初衷仅为实现跨项目集成功能。
公告强调,核心协议及其关联合约均保持完整安全状态,平台整体无风险。同时提醒用户务必准确区分名称相近的项目,避免因混淆而授权高危组件。
随着软件供应链风险持续升温,币安创始人赵长鹏就近期多起安全事件发表警示。他特别提及GitHub数据泄露事件,呼吁所有开发者加强密钥管理意识。
赵长鹏指出,即便API密钥存储于私有代码库或使用加密方式保护,一旦发生泄露仍可能被滥用。他建议定期轮换所有关键凭证,包括交易机器人、DeFi应用及数据分析工具中的敏感信息,建立动态防护机制,从根本上降低系统性风险。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.