摘要:以太坊与Base链上发生一起由第三方Safe模块引发的资产盗取事件,约320万美元在两小时内被转移。尽管项目方澄清核心系统未受影响,但暴露了外部集成模块带来的隐蔽风险。
币圈界报道:
第三方Safe模块遭利用导致巨额资产流失
多家区块链安全机构披露,一个名为'SquidRouterModule'的第三方智能合约模块在以太坊及Base链上被恶意利用,短短两小时内从86个Safe钱包中窃取约320万美元资产。该合约于Basescan平台以特定名称上线,一度引发公众对其是否关联跨链协议Squid的误判。Squid官方迅速回应称,该模块非其开发、部署或运营,其核心路由逻辑未受任何影响。
命名混淆加剧信任危机,技术归属亟待厘清
化名Fig的Squid联合创始人在社交平台指出,'SquidRouterModule'合约与该项目无任何关联,当前尚无法确认其编写或部署主体。官方账号同步强调,核心路由架构独立运行,未遭受入侵。后续澄清表明,早期报道中提及的'SquidRouter'存在术语偏差——实际受影响的并非官方组件,而是未经授权的第三方集成产品,虽共享名称却无技术关联。
恶意调用链路揭示权限滥用机制
分析显示,该漏洞根源在于模块接受外部传入的常量字符串作为安全验证依据。攻击者通过构造特定输入,绕过签名要求,实现对目标Safe钱包的任意指令执行,从而操控其中代币。攻击路径采用基于Foundry框架的恶意合约,经由DelegateBundler接口伪装为授权委托方,触发Uniswap V3资金池中的非授权交易。被盗资产随后被转入攻击者预设的流动性池,并兑换为名为'所谓'的无价值代币。追踪数据显示,最终约307万枚DAI已汇入指定地址。
权限越界风险凸显,安全边界需重新定义
值得注意的是,攻击初始资金仅2.1枚ETH,源自混币协议。这一事件揭示当Safe模块被赋予宽泛操作权限时所潜藏的巨大隐患:尽管钱包本身依赖多重签名机制,但可选模块允许已批准合约代表钱包发起操作。一旦模块含缺陷或嵌入恶意代码,即可直接突破用户自认为的安全防线。
生态警示:模块审查应提升至基础设施同等地位
尽管本次攻击未波及Squid核心协议,但暴露出第三方模块可能引发的钱包层级潜在威胁。对于机构用户与普通投资者而言,模块权限审核必须与跨链桥、托管系统及智能合约审计享有同等重视程度。命名相似性造成的归属误解尤为危险——即便官方否认关联,仍会迅速引发市场信任滑坡。尤其在涉及钱包控制权或跨链通道场景下,此类混淆极易引发连锁反应。
Safe实验室负责人表示,受影响账户疑似未通过官方Safe钱包界面创建,其部署方式和管理流程尚不明确,推测来自外部集成方案。值得关注的是,该模块此前已被安全团队标记为高危对象并纳入防护规则集。这表明,此次事件本质上是第三方集成问题,而非核心钱包系统或Squid主路由的缺陷。然而,损失结果再次证明,一旦用户授予外部模块执行权限,资产安全便处于开放状态。
DeFi安全格局再受冲击,全链协同防御迫在眉睫
本起事件成为2024年第一季度安全形势严峻性的又一例证。仅四月内,行业已记录近30起重大安全事故,总损失逾6.3亿美元。这要求协议方不仅需确保自身合约经过严格审计,还必须对所有外围模块、路由逻辑及集成组件进行穿透式审查,防止间接风险传导。
在跨链互操作领域,由于历史多次跨链桥攻击与消息传递异常,该环节仍是加密生态中最脆弱的组成部分之一。即使核心协议保持完好,任何冠以知名项目名称的合约都可能误导用户,进而造成交易对手、流动性提供方乃至整个生态的信任崩塌。
对于使用Safe架构的交易所、基金及协议,关键启示在于:钱包安全不能仅依赖多重签名机制。团队必须对每一个启用的模块实施身份核验、权限范围评估与非必要路径移除。在智能账户体系中,一个薄弱环节足以绕开用户主观感知的安全屏障,形成系统性风险敞口。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。