Squid срочно отделяет бренд от эксплойта модуля Gnosis Safe на 3 млн $

Squid оперативно заявил, что недавний эксплойт на $3 млн был направлен против стороннего модуля Gnosis Safe под названием SquidRouterModule, а не против основных контрактов кросс-чейн маршрутизации, после того как 86 кошельков на Ethereum и Base были опустошены менее чем за два часа.

По данным блокчейн-компании по безопасности Blockaid, атака была сосредоточена на модуле Gnosis Safe под названием SquidRouterModule, развёрнутом на Ethereum и Base, который использовался некоторыми владельцами мультисигов для маршрутизации кросс-чейн транзакций с участием Squid и других протоколов.

Blockaid сообщил, что примерно за два часа злоумышленник вывел средства из 86 кошельков Gnosis Safe, а общие потери составили около $3 млн — $3,2 млн, после чего все поступления были консолидированы на одном адресе, где хранится чуть более 3,07 млн DAI.

В подробном обзоре новостной отдел KuCoin со ссылкой на Blockaid и Squid сообщает, что похищенные токены были обменяны на DAI через специальный пул Uniswap V3, созданный злоумышленником, который затем агрегировал выведенные средства в одном кошельке для упрощения отмывания.

Основная ошибка находилась внутри логики «message security» модуля SquidRouterModule: согласно материалам Binance Square, модуль просто принимал константную строку, предоставленную вызывающей стороной, в качестве доказательства того, что сообщение является действительным, а это означало, что любой, кто мог видеть код контракта, мог скопировать строку и передать произвольные данные вызова.

CoinNess сообщает, что злоумышленник воспользовался этой публичной проверкой фиксированной строки для выполнения произвольных вызовов из затронутых Safe, фактически предоставив себе разрешение на вывод активов из мультисигов без подтверждения владельцев.

Как эксплойт SquidRouterModule опустошил 86 Gnosis Safe?

Инцидент-нота Binance описывает это прямо, говоря, что конструкция «принимала фиксированную строку, предоставленную вызывающей стороной, для проверки безопасности сообщений» — шаблон, который устранил любую реальную аутентификацию и открыл прямой путь для вывода средств из интегрированных кошельков.

Это известный класс рисков для модулей Gnosis Safe: более ранние исследования OpenZeppelin показали, что любой подключённый модуль может выполнять транзакции из кошелька без одобрения владельца, если его внутренние проверки слабы или неправильно настроены.

В данном случае небезопасный модуль носил имя Squid, но был разработан и развёрнут сторонним интегратором, а не командой Squid или основными разработчиками протокола.

Почему Squid дистанцируется от взлома своим основным роутером?

В официальном посте в X Squid заявил, что «этот инцидент не связан с основным протоколом и контрактами Squid», и подчеркнул, что его основной контракт маршрутизации, идентифицированный в блокчейне как 0xce16F69375520ab01377ce7B88f5BA8C48F8D666, «не был задействован ни в одной из вредоносных транзакций».

В материале KuCoin отмечается, что Squid прояснил: SquidRouterModule «не был ни разработан, ни развёрнут, ни эксплуатирован ими; название было самостоятельно выбрано третьей стороной при интеграции с Squid», и он находится полностью за пределами архитектуры основного роутера.

Команда дополнительно подчеркнула, что средства пользователей, существующие разрешения и интеграции на уровне протокола остаются в безопасности, и что «основная кросс-чейн маршрутизация Squid не пострадала», пока команда продолжает следить за ситуацией и координировать действия с компаниями по безопасности.

Несмотря на это, имидж пострадал: как отмечает материал KuCoin, в заголовках неизбежно появляется связка «Squid» и «взлом», хотя радиус поражения ограничен небрежным модулем Safe, единственная реальная связь которого с проектом — это брендинг и использование Squid в качестве одного из нескольких интегрированных роутеров.

Исследователи безопасности давно предупреждали, что возможности Gnosis Safe сопряжены с оговоркой: любой модуль, подключённый к Safe, может выполнять транзакции без подтверждений владельца, если его логика имеет изъяны, — что именно и произошло здесь после того, как была обойдена проверка фиксированной строки.

Для более широкой экосистемы кросс-чейн и расширений кошельков инцидент с SquidRouterModule является ещё одним конкретным примером того, как компонуемость в сочетании с поверхностными допущениями безопасности в периферийных модулях может открывать векторы атак, полностью находящиеся за пределами собственных контрактов и аудитов протокола.

Это также подчёркивает болезненную реальность для инфраструктурных команд вроде Squid, который Axelar описывает как «протокол, обеспечивающий кросс-чейн маршрутизацию ликвидности и свопы через единый SDK»: даже когда ваши собственные контракты надёжны, сторонние обёртки всё равно могут втянуть ваш бренд в заголовки об эксплойтах, если они не соблюдают базовую гигиену безопасности.