针对近期引发市场广泛关注的加密资产损失事件,Squid官方发布正式公告,明确指出受攻击的智能合约并未由其团队构建、部署或运营。该合约虽在链上显示为“SquidRouterModule”,但实为外部集成模块,与Squid的核心路由器架构完全独立。
此次攻击源于一个连接至Gnosis Safe生态的外部模块,其在以太坊与Base网络上同时遭袭,造成约320万美元资产在两小时内从86个独立Safe钱包中被清空。区块链安全机构Blockaid与PeckShield率先披露了事件技术细节。
据分析,该漏洞核心在于合约接受调用者提供的固定字符串作为交易安全凭证,攻击者通过构造特定输入值,成功规避了多重签名验证流程。由此,恶意指令得以在未获授权的情况下执行,直接操控受害者钱包内的代币。
Squid团队进一步解释,此漏洞被用于触发基于Foundry框架的代理合约,攻击者重点针对DelegateBundler组件的调用路径实施渗透。通过伪造与各Safe账户绑定的授权委托身份,攻击者在Uniswap V3流动性池中发起任意代币兑换操作。
被盗资产随后经由攻击者控制的特定池进行转换,被批量置换为一种名为“u”的无价值自创代币。完成洗钱流程后,攻击者撤回流动性,并将所得整合为约307万枚DAI,实现资金匿名化转移。
项目方对早期媒体将攻击归因于其协议的做法表示遗憾,强调该模块仅借用名称,实际运行逻辑与Squid无关,且未获得任何官方支持或参与。团队呼吁行业加强对外部集成组件的安全审查,防止类似误判再次发生。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.