Неизвестный злоумышленник воспользовался уязвимостью в стороннем модуле Safe с названием SquidRouterModule и за два часа вывел около 3,2 миллиона долларов из 86 кошельков в сетях Ethereum и Base. Команда протокола Squid немедленно отмежевалась от инцидента, заявив, что не имеет отношения к созданию или развёртыванию этого контракта, а её основной роутер не пострадал.
Атака стала возможной из-за грубой ошибки в логике авторизации: модуль принимал произвольную строку как доказательство подлинности запроса. Это позволило хакеру выполнять транзакции без необходимых подписей. Похищенные средства прогонялись через пулы Uniswap V3 и конвертировались в токен-пустышку, после чего злоумышленник вывел ликвидность и консолидировал около 3,07 миллиона DAI на одном адресе.
Инцидент обнажил системный изъян: модули Safe способны полностью обходить защиту мультиподписи, если им предоставлены широкие права. Примечательно, что скомпрометированный модуль был заранее помечен как вредоносный системой Safe Shield, однако предупреждение не было учтено.
по материалам
уникальность
Реклама: 🔥 Хочешь получить Telegram Premium и стать гуру Polymarket? Кликай сюда!
