Squid緊急與3百萬美元Gnosis Safe模組漏洞利用事件撇清品牌關係

Squid 迅速澄清，近期發生的 300 萬美元漏洞攻擊針對的是一個名為 SquidRouterModule 的第三方 Gnosis Safe 模組，而非其核心跨鏈路由合約，此次事件導致以太坊和 Base 上的 86 個錢包在不到兩小時內被盜空。

據鏈上安全公司 Blockaid 表示，此次攻擊的核心是一個名為 SquidRouterModule 的 Gnosis Safe 模組，該模組部署於以太坊和 Base 上，部分多簽持有人使用它來路由涉及 Squid 及其他協議的跨鏈交易。

Blockaid 報告指出，攻擊者在約兩小時內從 86 個 Gnosis Safe 錢包中抽走資金，總損失約 300 萬至 320 萬美元，最終將所得整合至一個持有逾 307 萬 DAI 的單一地址。

KuCoin 新聞部門在一份詳細摘要中引用 Blockaid 和 Squid 的說法，指出被盜代幣透過攻擊者設置的自訂 Uniswap V3 流動池兌換為 DAI，隨後攻擊者將所有盜取資金匯聚至一個錢包，以便於洗錢。

核心漏洞存在於 SquidRouterModule 的「訊息安全」邏輯中：Binance Square 的報導解釋，該模組僅接受呼叫者提供的固定字串作為訊息有效的證明，這意味著任何能看到合約程式碼的人都可以複製該字串並傳入任意呼叫資料。

CoinNess 報導，攻擊者利用這個公開的固定字串驗證機制，對受影響的 Safe 執行任意呼叫，實際上在未經持有人確認的情況下，取得了從多簽錢包中轉移資產的權限。

SquidRouterModule 漏洞如何盜空 86 個 Gnosis Safe？

Binance 的事件說明直截了當地描述，指其設計「接受呼叫者提供的固定字串進行訊息安全驗證」，這種模式消除了任何真正的身份驗證，並開闢了一條直接從整合錢包中盜取資金的通道。

這是 Gnosis Safe 模組的已知風險類別，OpenZeppelin 早期的研究顯示，若任何已附加模組的內部檢查薄弱或配置錯誤，便可在未經持有人批准的情況下從錢包執行交易。

在此次事件中，這個不安全的模組冠以 Squid 名稱，但實際上由第三方整合商開發和部署，並非 Squid 團隊或其核心協議維護者所為。

Squid 為何要將其核心路由器與此次駭客事件切割？

Squid 在官方 X 貼文中表示「此事件與 Squid 的核心協議和合約無關」，並強調其主要路由合約（鏈上地址為 0xce16F69375520ab01377ce7B88f5BA8C48F8D666）「未涉及任何惡意交易」。

KuCoin 的報導指出，Squid 澄清 SquidRouterModule「既非由其開發、部署，亦非由其運營；該名稱是第三方在與 Squid 整合時自行選用的」，且完全處於核心路由器架構之外。

團隊進一步強調，用戶資金、現有授權及協議層面的整合均保持安全，「Squid 的核心跨鏈路由不受影響」，同時繼續監控事態發展並與安全公司協調。

儘管如此，形象上的損害已難以避免：正如 KuCoin 文章所指出的，新聞標題不可避免地將「Squid」與「駭客」並列，儘管波及範圍僅限於一個安全性粗糙的 Safe 模組，而該模組與此項目的唯一真正關聯，不過是品牌命名以及將 Squid 作為多個整合路由器之一使用而已。

安全研究人員早已警告，Gnosis Safe 的強大功能附帶一個隱患：任何插入 Safe 的模組若邏輯存在缺陷，便可在未經持有人確認的情況下執行交易，而一旦固定字串驗證被繞過，此次事件正是如此。

對於更廣泛的跨鏈及錢包擴展生態系統而言，SquidRouterModule 事件再次具體說明，可組合性加上周邊模組中懈怠的安全假設，如何在協議自身合約和審計範圍之外開闢攻擊面。

這也凸顯了 Squid 等基礎設施團隊所面臨的一個殘酷現實——Axelar 將 Squid 描述為「一個透過單一 SDK 實現跨鏈流動性路由和兌換的協議」：即便自身合約無懈可擊，第三方封裝器一旦缺乏基本的安全規範，仍可能將你的品牌拖入漏洞攻擊的頭條新聞。