摘要:2026年5月25日,因名为'SquidRouterModule'的第三方智能合约漏洞,86个Gnosis Safe钱包在两小时内损失超320万美元。攻击者利用权限绕过机制快速转移资产,官方已澄清该模块与官方Squid Router无关,行业呼吁加强代码供应链安全管理。
币圈界报道:
第三方合约漏洞引发大规模资产流失事件
2026年5月25日,安全监控系统捕捉到针对Base与以太坊网络的一起重大安全事件,涉及86个Gnosis Safe钱包在不足两小时内被入侵,累计损失约320万美元的数字资产。经溯源调查,攻击源头指向一个名为'SquidRouterModule'的智能合约,其名称与官方Squid Router高度相似,误导了部分用户信任,加剧了风险扩散。
攻击路径与资金流转追踪
PeckShield与Blockaid联合分析指出,攻击者首先通过TornadoCash获取2.1枚ETH作为初始跳板,随后利用UniswapV3流动性池将非法所得迅速兑换为近300万枚DAI代币。相关涉事地址已被公开,用于后续链上追踪与监管协作。
报告揭示,攻击者利用该合约中的权限缺陷,在用户授权后无需签名即可发起资产转移,从而在极短时间内完成大额资金抽离。最终,超过300万美元的资产被转入以0xA447开头的特定钱包地址,形成明确的资金沉淀节点。
设计缺陷暴露第三方模块风险
此次事件的根本原因在于某第三方开发者部署的Gnosis Safe扩展模块。尽管该合约已在Basescan上完成验证,但其核心逻辑存在严重疏漏:允许调用方传入任意不可变字符串作为安全校验凭证。
由于该字符串在开源代码中完全暴露,攻击者可轻易构造伪造输入,绕过本应存在的身份验证机制。一旦用户将此模块标记为“可信”,其钱包即面临无限制资产外流风险。需特别说明的是,官方Squid Router协议架构完整独立,未受本次漏洞波及。
官方机构澄清来源归属
面对市场广泛误读,官方Squid Router社交媒体账号迅速发布声明,明确指出本次事件所涉模块并非由其团队开发、部署或维护。该模块实为某非关联第三方钱包服务商引入,原意仅为实现与Squid及其他生态项目的集成,但因安全性审查缺失导致严重后果。
公告强调,核心协议层及所有官方合约均保持完好,未出现任何异常行为。平台用户及相关服务未受到实质性威胁,同时提醒社区成员准确识别项目来源,避免因名称相近引发误判。
行业警钟:软件供应链安全亟待强化
随着此类供应链攻击频发,币安创始人赵长鹏就近期多起安全事件发表警示。他特别提及GitHub数据泄露问题,强调开发者与用户均需对API密钥实施严格管控。
赵长鹏指出,即便密钥存储于私有代码库或环境变量中,一旦发生泄露,仍可能被恶意利用。他建议所有项目方建立定期密钥轮换机制,并对第三方依赖组件进行持续安全审计,防止潜在后门植入。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。