Blockaid виявив уразливість в SquidRouterModule, яка дозволила вкрасти близько $3 млн з 86 гаманців Gnosis Safe. Зловмисник обміняв викрадені токени на DAI в мережах Ethereum та Base, а потім вивів кошти з скомпрометованих рахунків.
Експлойт спрямовувався проти смарт-контракту модуля, який часто інтегрували в конфігурації Gnosis Safe. Сам Gnosis Safe – інфраструктура мультипідписного гаманця – не був скомпрометований. Уразливість виявилась у тому, як SquidRouterModule опрацьовував певні виклики функцій, дозволяючи невідомому актору виконувати передачу токенів з підключених гаманців.
Масштаб атаки привертає увагу. Вісімдесят шість гаманців свідчить про скоординований напад, а не випадкові атаки. Зловмисник міг виявити поширену інтеграцію в кількох екземплярах Safe та експлуатувати її систематично. Рішення конвертувати викрадені активи в DAI в двох окремих мережах говорить про навичку – розповсюдження незаконних коштів через Ethereum та Base потенційно утруднює трасування та відновлення.
Blockaid виявив атаку завдяки інфраструктурі моніторингу транзакцій, яка зафіксувала необичні відливи з гаманців та кроссчейн-своп. Компанія з безпеки швидко опублікувала попередження – це стандартна практика в середовищі DeFi-моніторингу. Залишається невідомим, чи користувачі втратили доступ до коштів до публікації попередження.
Інцидент висвітлює постійну слабкість в модульних архітектурах гаманців. Користувачі, які впроваджують невбудовані модулі – навіть від встановлених проектів – беруть на себе додатковий шар ризику смарт-контракту. SquidRouterModule було розроблено для маршрутизації через пули ліквідності та мости, функцію утиліти, яка потребувала підвищених дозволів на підключених гаманцях. Ці ж дозволи стали поверхнею атаки.
Перспективи відновлення залежать від того, чи залишається викрадений DAI простежуваним у блокчейні та чи пройшов зловмисник кошти через міксери або мости для приховування сліду. Користувачам Gnosis Safe слід негайно перевірити підключені модулі та скасувати дозволи з будь-яких сторонніх контрактів, які вони не використовують активно. Попередження Blockaid має спонукати постраждалих користувачів перевірити історію транзакцій на предмет несанкціонованого виконання модулів та звернутися до команди SquidRouter для детального аналізу та можливих кроків по виправленню ситуації.
Exploit SquidRouterModule вкрав $3M з 86 гаманців Safes
Blockaid виявив експлуатацію SquidRouterModule, яка виконала дренаж близько $3M з 86 гаманців Gnosis Safe, з викраденими токенами обміняними на DAI в мережах Ethereum та Base. Це представляє значну вразливість розумного контракту, яка впливає на широко використовуваний компонент інфраструктури гаманця.