摘要:以太坊与Base链上一名为'SquidRouterModule'的第三方Safe模块遭利用,两小时内导致86个钱包损失超320万美元。尽管项目方澄清无关,但事件暴露了外部集成组件在权限管理中的隐蔽威胁。
币圈界报道:
第三方Safe模块漏洞引发资产大规模流失
多起安全事件披露显示,一个被命名为'Squid'的第三方智能合约模块在以太坊及Base链上被恶意利用,造成约86个Safe钱包在短短两小时内资产外流,总金额接近320万美元。该漏洞合约于Basescan平台以"SquidRouterModule"名义完成验证,一度引发市场对其是否关联跨链协议Squid的误判。官方回应明确指出,此合约并非由Squid团队开发、部署或运营,其核心路由系统未受任何影响。
非官方集成引发命名混淆与信任危机
化名Fig的Squid联合创始人在社交媒体上声明:名为SquidRouterModule的合约与该项目无任何关联,当前尚无法确认其编写或部署主体。项目官方账号亦强调,核心路由架构保持独立,未受到此次事件波及。后续澄清表明,早期报道中提及的"SquidRouter"存在技术描述偏差——受影响合约虽共享相同名称,实为未经官方接触的第三方集成产品,其行为完全脱离原项目控制。
利用字符串验证缺陷实现未授权操作
事件分析揭示,漏洞根源在于模块接受外部输入的常量字符串作为安全凭证。攻击者通过构造特定字符串,可在无需签名的情况下触发任意调用指令,从而操控受影响钱包内的代币资产。攻击路径显示,攻击者使用基于Foundry框架的恶意合约,经由DelegateBundler接口伪装成合法委托方,借助Uniswap V3资金池发起未经授权的交易。目标资产随后被转移至攻击者预设的流动性池,并兑换为名为"u"的无价值代币。链上追踪数据显示,最终约307万枚DAI已转入指定地址。
值得注意的是,攻击启动资金仅2.1枚ETH,来源于某混币协议。该事件凸显当Safe模块被赋予广泛执行权限时潜在的重大风险:尽管钱包设计需多重签名,但若允许已批准的智能合约代表用户操作,一旦模块存在缺陷或植入恶意代码,将直接危及资产安全。
权限授予机制亟待强化审查标准
虽然本次攻击未波及Squid核心协议,却暴露出第三方模块可能带来的钱包层级深层隐患。对于去中心化金融领域的用户与机构而言,模块权限审查应获得与跨链桥、托管系统及智能合约同等重视。
合约命名引发的归属误解尤为突出——即便项目方公开否认关联,仍会迅速引发声誉冲击。在去中心化生态中,名称混淆极易动摇市场信心,尤其当涉及钱包权限或跨链基础设施时。Safe实验室首席执行官表示,受影响账户似乎未通过官方Safe钱包产品创建或管理,推测其采用外部部署的集成方案,具体操作方式尚不明确。
值得强调的是,Safe钱包已内置"Safe防护盾"功能,用于识别潜在恶意或未经验证的模块。据悉,该漏洞模块此前已被多家安全机构标记为高风险并纳入检测规则库。这表明本次攻击源于第三方集成,而非核心钱包系统或Squid主路由。然而,损失结果警示我们:一旦用户或集成方赋予外部模块执行权限,资产仍可能面临不可逆风险。
对去中心化金融安全体系的深层反思
此次事件再次印证了去中心化金融领域持续严峻的安全态势。仅在四月份,行业已发生约30起安全事故,累计损失超过6.3亿美元。这要求协议方不仅需确保自身合约经过严格审计,更应全面管控外围模块、路由逻辑与集成组件所可能带来的间接风险。
在跨链互操作性领域,由于历史多次跨链桥攻击与消息传递故障,该类别仍是加密基础设施中最易受攻击的环节之一。即使核心协议未受损,任何冠以知名项目名称的合约都可能引发用户误判与信任崩塌。
对于依托Safe架构运行的交易平台、资产管理机构及去中心化协议,核心教训在于实践层面:钱包安全不能仅依赖多重签名机制。团队必须逐一审查启用模块,核实部署方身份,明确其权限边界,并禁用不必要的执行路径。在智能账户体系中,一个薄弱环节即可绕过用户自认为的保护屏障,成为整个系统的致命缺口。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。