"SquidRouterModule" adlı üçüncü taraf bir Gnosis Safe modülündeki kritik bir güvenlik açığı 25 Mayıs'ta istismar edilerek, bir saldırganın Ethereum ve Base ağlarındaki 86 cüzdandan yaklaşık 3,2 milyon dolar değerinde varlığı boşaltmasına olanak tanıdı.
Olay, iki saatlik bir süre boyunca devam eden saldırıyı tespit eden blok zinciri güvenlik firması Blockaid tarafından ilk kez rapor edildi. Blockaid'e göre saldırgan, modül içindeki executeSameChainActions() fonksiyonundaki bir hatadan yararlandı. Bu güvenlik açığı, saldırganın yetkili delegelerin yerine geçmesine ve ek imzalara gerek duymadan kurbanın cüzdanlarından keyfi token takasları gerçekleştirmesine izin verdi.
Çeşitli tokenların karışımından oluşan çalınan varlıklar, saldırgan kontrollü Uniswap V3 havuzları üzerinden takas edildi ve yaklaşık 3,07 milyon dolar değerinde DAI sabit akçesinde birleştirildi. Saldırı, merkeziyetsiz finans (DeFi) ekosistemindeki üçüncü taraf modülleri ve devredilen izinlerle ilgili artan güvenlik risklerini vurguluyor.
Adı savunmasız modülle ilişkilendirilen zincirler arası protokol Squid, temel protokolünü bu olaydan ayırmak için hızla harekete geçti. Squid yaptığı kamuoyu açıklamasında, "SquidRouterModule"un Squid ile entegre olan ancak şirket tarafından oluşturulmayan, konuşlandırılmayan veya işletilmeyen üçüncü taraf bir akıllı cüzdan ürünü olduğunu netleştirdi. Şirket, "Doğru çerçeve şu şekildedir: Squid'in Router sözleşmesi değil, üçüncü taraf bir SquidRouterModule istismar edildi," dedi. Bu olay, bir protokolün temel sözleşmeleri güvenli kalsa bile, ilişkilendirme yoluyla itibar kaybı yaşanabileceğini gösteriyor.
Saldırı, birleştirilebilirliğin ve üçüncü taraf entegrasyonlarının öngörülemeyen güvenlik açıkları yaratabileceği DeFi'deki güvenlik karmaşıklıklarını hatırlatan sert bir uyarı niteliğindedir. Gnosis Safe gibi çoklu imzalı cüzdan kullanıcıları için bu durum, herhangi bir üçüncü taraf modüle verilen izinlerin incelenmesi ve anlaşılması konusundaki kritik ihtiyacı vurgulamaktadır. 25 Mayıs saat 14:30 UTC itibarıyla, çalınan fonlar saldırganın cüzdanında kalmaya devam ediyordu ve bir sonraki hamlelerine dair herhangi bir emare yoktu.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
