Exploit SquidRouterModule spowodował stratę 3 mln USD z 86 Safes

Blockaid wykrył lukę w SquidRouterModule, która doprowadziła do wycieknienia około 3 milionów dolarów z 86 portfeli Gnosis Safe. Atakujący wymienił skradzione tokeny na DAI zarówno na sieci Ethereum, jak i Base, a następnie przenieśli środki z zaatakowanych kont.

Exploit wykorzystał moduł inteligentnego kontraktu powszechnie integrowany z konfiguracjami Gnosis Safe. Sama infrastruktura Gnosis Safe – portfel wielopodpisowy – nie została narażona. Luka znajdowała się w sposobie obsługi pewnych wywołań funkcji przez SquidRouterModule, co umożliwiło nieautoryzowanemu aktorowi wykonanie transferów tokenów z połączonych portfeli.

To, co czyni ten incydent godnym uwagi, to jego skala. Osiemdziesiąt sześć portfeli sugeruje skoordynowany wzorzec ataku, a nie przypadkowe incydenty. Atakujący mógł zidentyfikować wspólną integrację w wielu instancjach Safe i systematycznie ją wykorzystać. Wybór konwersji skradzionych aktywów na DAI na dwóch oddzielnych łańcuchach wskazuje na zaawansowanie – rozproszenie nielegalnych zysków na Ethereum i Base potencjalnie utrudnia śledzenie i odzyskiwanie środków.

Wykrycie przez Blockaid pochodzi z ich infrastruktury monitorowania transakcji, która flagowała niezwykłe wycieknienia portfeli i swapy między łańcuchami. Firma zajmująca się bezpieczeństwem podniosła alarm bez zwłoki, co jest standardową praktyką w przestrzeni monitorowania DeFi. Czy zagrożeni użytkownicy stracili dostęp do swoich środków przed opublikowaniem alertu, pozostaje niejasne z wstępnego raportu.

Incydent podkreśla powtarzającą się słabość w architekturach portfeli modularnych. Użytkownicy, którzy przyjmują moduły spoza natywnych rozwiązań – nawet od uznanych projektów – biorą na siebie dodatkową warstwę ryzyka związanego z inteligentnymi kontraktami. SquidRouterModule został zaprojektowany w celu ułatwienia routingu między pulami płynności i mostami, funkcji użyteczności wymagającej podwyższonych uprawnień na połączonych portfelach. Te same uprawnienia stały się powierzchnią ataku.

Perspektywy odzyskania zależą od tego, czy skradzione DAI pozostaje możliwe do śledzenia w łańcuchu i czy atakujący przeniósł je przez mikser lub mosty, aby zaciemnić ślad. Użytkownicy Gnosis Safe powinni natychmiast sprawdzić swoje połączone moduły i cofnąć uprawnienia do wszelkich kontraktów stron trzecich, których aktywnie nie używają. Alert Blockaid powinien skłonić zagrożonych użytkowników do sprawdzenia historii transakcji pod kątem nieautoryzowanych wykonań modułów i skontaktowania się z zespołem SquidRouter w celu uzyskania szczegółowej post-mortem i ewentualnych dostępnych kroków naprawczych.