币圈界报道：

Squid协议回应320万美元资产损失：非核心系统受袭，第三方模块为漏洞入口

针对近期引发市场关注的数字资产安全事件，跨链协议Squid发布官方声明，确认约320万美元损失源于一个由外部开发并部署的第三方模块，而非其自身核心协议。

漏洞载体为独立部署的外部组件，与主协议无直接关联

涉事合约名为"SquidRouterModule"，其设计、上线及运维均由第三方完成。Squid团队指出，该模块在架构上与主路由系统保持隔离，不具备控制权或管理权限。

攻击路径揭示：利用固定字符串验证缺陷实现无签名调用

调查表明，攻击者通过挖掘该模块中公共固定字符串校验逻辑的缺陷，构造恶意数据包发起任意函数调用。由于该模块已被多个Gnosis Safe钱包预先标记为可信实体，攻击得以绕过多重签名验证流程，直接触发资金转移。

影响范围限定：核心协议与用户资产未遭波及

项目方明确表示，包括主路由合约、用户存款账户、权限管理机制以及服务接口在内的所有核心功能均未受到任何侵扰。此次事件仅波及采用特定配置的外部钱包实例。

对去中心化金融生态的警示：信任边界需重新审视

尽管协议本身具备健全防护体系，但此事件暴露了当前DeFi生态中广泛存在的依赖链风险——一个看似微小的外部集成环节可能成为整个系统的薄弱点。用户所依赖的钱包层级组件，其安全性直接决定最终资产保障水平。

用户应强化权限管理，主动降低潜在威胁

对于使用Gnosis Safe等多签钱包的用户而言，此次事件提醒必须定期审查已授权的模块列表。任何被设为可信状态的第三方组件若存在缺陷，都将构成重大安全隐患。建议及时撤销长期未使用或未经充分审计的模块权限。

补偿机制暂不启动，责任归属明确界定

鉴于漏洞发生于非项目方控制的第三方模块，且损失资金来自用户自主集成行为，Squid未计划提供任何形式的赔偿。项目方重申，其职责范围不涵盖外部组件的安全性保障。

事件总结：安全防线取决于最脆弱的一环

本次事件再次印证了去中心化金融中的关键原则——系统的整体安全性并非由最强部分决定，而是受限于最易被攻破的节点。即便核心协议坚如磐石，用户若忽视对附属工具链的监管，仍可能面临资产流失风险。

常见问题答疑：厘清误解，明确责任划分

问：Squid自身合约或用户资金是否受损？答：否。经核实，核心路由逻辑、用户资产存储及访问控制机制均未受到攻击影响。漏洞存在于独立部署的第三方模块。

问：资金为何能在无签名情况下被转移？答：因该模块在受害钱包中被预设为可信身份，系统自动允许其执行敏感操作，无需额外授权确认。

问：是否应停止使用Squid或Gnosis Safe？答：无需。协议本身仍可信赖。但强烈建议用户对钱包内所有集成模块进行安全评估，并及时移除高风险或闲置权限。