Blockaid обнаружила уязвимость в SquidRouterModule, которая привела к краже примерно $3 млн из 86 кошельков Gnosis Safe. Злоумышленник обменял украденные токены на DAI в обеих сетях – Ethereum и Base – а затем вывел средства с взломанных счетов.
Эксплуатация была направлена на модуль смарт-контракта, который обычно интегрируется в конфигурации Gnosis Safe. Сам Gnosis Safe – мультиподписная инфраструктура кошельков – не был взломан. Уязвимость заключалась в том, как SquidRouterModule обрабатывал определенные вызовы функций, позволяя несанкционированному актору выполнять передачи токенов с подключенных кошельков.
То, что делает этот инцидент примечательным, – масштаб атаки. Восемьдесят шесть кошельков указывает на скоординированную схему, а не на случайные атаки. Злоумышленник мог выявить общую интеграцию по нескольким экземплярам Safe и эксплуатировать её систематически. Выбор конвертировать украденные активы в DAI в двух отдельных блокчейнах свидетельствует об изощренности – распределение незаконных средств между Ethereum и Base потенциально затрудняет отслеживание и восстановление.
Blockaid обнаружила уязвимость благодаря своей инфраструктуре мониторинга транзакций, которая отметила необычный слив средств из кошельков и кросс-чейн свопы. Компания безопасности своевременно подала оповещение, что является стандартной практикой в пространстве мониторинга DeFi. Остается неясным из первоначального отчета, потеряли ли затронутые пользователи доступ к своим средствам к моменту публикации оповещения.
Инцидент подчеркивает повторяющуюся слабость в архитектуре модульных кошельков. Пользователи, которые принимают небазовые модули – даже от установленных проектов – принимают на себя вторичный слой риска смарт-контракта. SquidRouterModule был разработан для облегчения маршрутизации через пулы ликвидности и мосты, функция утилиты, которая требовала повышенных разрешений на подключенных кошельках. Эти же разрешения стали поверхностью атаки.
Перспективы восстановления зависят от того, остается ли дренированный DAI отслеживаемым в блокчейне и передал ли злоумышленник его через миксеры или мосты, чтобы скрыть след. Пользователи Gnosis Safe должны немедленно проверить подключенные модули и отозвать разрешения любых сторонних контрактов, которые они не используют активно. Оповещение Blockaid должно побудить затронутых пользователей проверить историю транзакций на предмет несанкционированного выполнения модулей и связаться с командой SquidRouter для детального анализа проблемы и возможных мер по исправлению.
$3M украдено из 86 Gnosis Safe через уязвимость SquidRouterModule
Blockaid обнаружила уязвимость в SquidRouterModule, которая привела к краже примерно $3 млн из 86 кошельков Gnosis Safe, с последующим обменом украденных токенов на DAI в сетях Ethereum и Base. Это значительная уязвимость смарт-контракта, затронувшая широко используемый компонент инфраструктуры кошельков.