摘要:以太坊与Base网络中多个Safe多重签名钱包因名为'SquidRouterModule'的第三方模块存在权限缺陷,导致约320万美元资产被盗。攻击者通过Uniswap V3将代币兑换为DAI,暴露了DeFi生态中信任组件的安全隐患。
币圈界报道:
第三方模块漏洞致Safe钱包大规模失窃,逾320万美元资产被转移
在以太坊及Base网络上,多个采用多重签名机制的Safe钱包遭遇针对性攻击,损失金额接近320万美元。此次事件暴露出看似安全的账户管理方案,在授权模块配置不当的情况下,极易成为外部攻击的突破口。
漏洞根源指向非官方集成的SquidRouterModule合约
据区块链安全机构Blockaid披露,攻击事件与一个名为'SquidRouterModule'的智能合约密切相关。尽管该名称与跨链协议'Squid'相似,但后者已明确声明其核心代码未受影响,两者仅在命名上存在巧合,实际无技术关联。此次事故系第三方开发者滥用该模块所致。
模块化架构加剧权限失控风险
Safe钱包原本依赖多签机制保障资产安全,但通过引入可选功能模块,系统允许外部代码在获得授权后直接执行交易。若权限范围设定过宽,将极大提升攻击面。本次攻击在短短两小时内波及至少86个账户,被盗资产已全部经由攻击者控制的Uniswap V3池转化为DAI稳定币。
伪装代理行为触发安全预警机制
Blockaid分析认为,攻击者可能利用漏洞伪造已授权代理身份,绕过正常审批流程执行非法代币兑换操作。Safe Labs首席执行官Rahul Rumalla指出,受影响账户很可能并非通过官方客户端创建,而是由外部系统集成部署。他同时强调,Safe Shield防护体系本应识别此类高风险模块,而该问题此前已被列入第三方风险监测名单。
去中心化信任体系面临根本性挑战
此事件揭示出当前DeFi生态的核心矛盾:对第三方模块的信任反而成为最大安全隐患。相较于签名人数等传统安全指标,组件来源验证、权限最小化原则以及实时监控机制正逐步成为保障钱包安全的关键。安全重心正从‘谁签字’转向‘谁可以动’。”
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。