Протокол кроссчейн-роутинга Squid оперативно прокомментировал недавний инцидент, в ходе которого было похищено около $3,2 млн в цифровых активах. Как подчеркнули в проекте, уязвимость была обнаружена не в основном протоколе, а в стороннем модуле SquidRouterModule, разработанном и развёрнутом третьими лицами для мультиподписных кошельков Gnosis Safe.
По данным аналитической компании Blockaid, атака затронула 86 кошельков в сетях Ethereum и Base и длилась менее двух часов. Злоумышленник сумел обойти проверку подлинности благодаря уязвимости в открытой функции верификации, которая принимала фиксированную строку от вызывающей стороны. Эта строка служила «подтверждением безопасности», что позволяло выполнять произвольные вызовы без дополнительных подписей владельцев кошельков. Все украденные средства были конвертированы в стейблкоин DAI через специальный пул Uniswap V3 и аккумулированы на одном адресе.
В Squid категорически заявили, что их ключевой роутер-контракт (0xce16F69375520ab01377ce7B88f5BA8C48F8D666) не участвовал ни в одной вредоносной транзакции, а пользовательские средства и одобрения не пострадали. «Данный инцидент не связан с основным протоколом и контрактами Squid. Все пользователи и интеграторы не затронуты. Никаких действий не требуется», — говорится в официальном заявлении проекта. Там также пояснили, что название модуля было выбрано сторонним интегратором самостоятельно, а сама разработка не входит в архитектуру ядра Squid.
Эксперты по безопасности давно предупреждали, что любое расширение в Gnosis Safe, зарегистрированное как доверенный модуль, может выполнять транзакции без подтверждения владельцев, если его логика окажется уязвимой. Этот случай стал очередной иллюстрацией того, как слабое звено в периферийном инструменте способно бросить тень на репутацию даже надёжного протокола.
