Một lỗ hổng nghiêm trọng trong mô-đun Gnosis Safe của bên thứ ba có tên “SquidRouterModule” đã bị khai thác vào ngày 25 tháng 5, cho phép kẻ tấn công rút khoảng 3,2 triệu USD tài sản từ 86 ví trên mạng Ethereum và Base.
Sự cố lần đầu tiên được báo cáo bởi công ty bảo mật blockchain Blockaid, đơn vị đã phát hiện ra cuộc tấn công đang diễn ra trong khoảng thời gian hai giờ. Theo Blockaid, kẻ tấn công đã tận dụng một lỗ hổng trong hàm executeSameChainActions() bên trong mô-đun. Lỗ hổng này cho phép kẻ tấn công giả danh các đại diện được ủy quyền và thực hiện các giao dịch hoán đổi mã thông báo tùy ý từ ví của nạn nhân mà không cần thêm chữ ký.
Tài sản bị đánh cắp, bao gồm nhiều loại mã thông báo khác nhau, đã được hoán đổi thông qua các nhóm Uniswap V3 do kẻ tấn công kiểm soát và hợp nhất thành khoảng 3,07 triệu USD giá trị đồng ổn định DAI. Cuộc tấn công làm nổi bật các rủi ro bảo mật ngày càng tăng liên quan đến các mô-đun của bên thứ ba và các quyền được ủy quyền trong hệ sinh thái tài chính phi tập trung (DeFi).
Giao thức chuỗi chéo Squid, có tên liên quan đến mô-đun bị lỗi, đã nhanh chóng hành động để tách biệt giao thức cốt lõi của mình khỏi vụ khai thác. Trong một tuyên bố công khai, Squid đã làm rõ rằng “SquidRouterModule” là một sản phẩm ví thông minh của bên thứ ba được tích hợp với Squid nhưng không được công ty xây dựng, triển khai hoặc vận hành. Công ty tuyên bố: "Cách trình bày chính xác là: một SquidRouterModule của bên thứ ba đã bị khai thác, không phải hợp đồng Router của Squid". Sự cố này nhấn mạnh khả năng gây thiệt hại về danh tiếng thông qua sự liên đới, ngay cả khi các hợp đồng cốt lõi của giao thức vẫn an toàn.
Vụ khai thác là một lời nhắc nhở rõ ràng về sự phức tạp của bảo mật trong DeFi, nơi tính kết hợp và tích hợp của bên thứ ba có thể dẫn đến các lỗ hổng không lường trước được. Đối với người dùng ví đa chữ ký như Gnosis Safe, nó nhấn mạnh nhu cầu cấp thiết trong việc kiểm tra và hiểu các quyền được cấp cho bất kỳ mô-đun bên thứ ba nào. Tính đến 14:30 UTC ngày 25 tháng 5, số tiền bị đánh cắp vẫn còn trong ví của kẻ tấn công, không có dấu hiệu cho thấy bước đi tiếp theo của chúng.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.
