摘要:一起针对Safe钱包的第三方模块攻击事件暴露了跨链生态中集成组件的隐蔽风险。攻击者利用命名混淆与权限缺陷,在两小时内窃取超320万美元,尽管核心协议未受影响,但警示用户需警惕非官方模块的授权隐患。
币圈界报道:
第三方Safe模块遭恶意利用,320万美元资产被快速转移
多家区块链安全机构通报,一个名为'SquidRouterModule'的第三方智能合约模块在以太坊与Base链上被恶意调用,导致86个Safe钱包在短时间内损失约320万美元数字资产。该合约虽以‘Squid’为名,但项目方明确表示其并非由官方团队开发或部署,核心路由系统保持独立且未受波及。
命名误导引发信任危机,官方澄清关联性缺失
化名为Fig的Squid联合创始人在社交平台指出,此次事件中的合约与项目本身无任何技术或运营联系,其编写与部署行为未经团队授权。官方账号亦确认,所谓‘SquidRouter’实为外部集成产物,存在术语误用,真正受影响的是非官方渠道引入的模块,而非主协议路径。
利用常量字符串绕过验证,实现无签名资金操控
攻击机制分析显示,该漏洞源于模块对调用方提供的固定字符串作为安全凭证的过度信任。攻击者通过构造特定输入,使合约误判其具备执行权限,从而绕过多重签名机制,直接发起任意交易。攻击链采用Foundry框架构建的恶意合约,经由DelegateBundler路径伪装成合法委托方,触发Uniswap V3池内未授权兑换操作。
资金随后被转入攻击者预设的流动性池,并转换为名为“u”的无效代币。追踪数据显示,最终约307万枚DAI被提取并汇入指定钱包地址。初始启动资金2.1枚ETH来自混币服务,进一步增加了溯源难度。
权限开放带来系统性风险,模块即入口
尽管攻击未触及Squid核心架构,却凸显出当外部模块获得高权限时所潜藏的巨大威胁。即使钱包本身设有严格授权流程,若允许未经验证的智能合约代表执行操作,仍可能成为攻击跳板。此次事件中,受影响账户疑似通过非官方渠道部署的集成方案创建,管理方式缺乏透明度。
Safe实验室已通过“安全防护盾”功能标记该模块为高风险项,此前已被多个安全机构列入恶意合约检测名单。这表明,当前攻击更倾向于瞄准第三方集成而非核心系统,提示用户必须将模块审查提升至与跨链桥、托管系统同等重要地位。
生态信任体系面临严峻考验,防御需前置到集成层
四月间行业共发生约30起重大安全事件,累计损失逾6.3亿美元,凸显加密基础设施的安全脆弱性。即便核心协议完好,只要其名称被用于非法合约,便极易引发市场恐慌与声誉侵蚀。
对于基于Safe架构运营的交易所、基金及协议而言,关键在于建立全流程模块治理机制:必须核查每个启用模块的部署来源、权限边界,并禁用非必需的执行路径。在智能账户体系下,单一薄弱环节足以突破用户自认为严密的保护屏障,提醒所有参与者将安全防线前移至集成设计阶段。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。