Разработчики кроссчейн-моста Squid опровергли информацию о взломе их собственного контракта. Инцидент, в результате которого было похищено около $3 млн, затронул сторонний модуль Gnosis Safe, не связанный с основным протоколом Squid.
Детали атаки
Эксперты Blockaid сообщили об эксплойте, направленном на контракт SquidRouterModule в сетях Ethereum и Base. За два часа злоумышленники опустошили 86 кошельков Gnosis Safe, обменяв все украденные токены на DAI через пулы Uniswap V3. Согласно данным PeckShieldAlert, хакер профинансировал атаку через Tornado Cash на сумму 2,1 ETH.
Уязвимость стороннего модуля
В Squid пояснили, что атака стала возможна из-за уязвимости в стороннем модуле, который принимал фиксированную строку в качестве подтверждения безопасности сообщения. Передав эту строку, злоумышленник мог выполнить произвольный массив данных и похитить средства. Пользователи Safes добавили уязвимый контракт как доверенный модуль, что дало ему право тратить токены без подписи.
Позиция Squid и инвестиции
Команда Squid подчеркнула, что их собственный маршрутизатор (0xce16F69375520ab01377ce7B88f5BA8C48F8D666) имеет другую архитектуру и не пострадал. «Этот контракт носит наше название, но не является нашим кодом», — заявили разработчики. За несколько дней до инцидента Squid объявил о привлечении $6 млн в раунде под руководством North Island Ventures при участии Ripple, Dialectic и Borderless. Общий объем привлеченных средств достиг $13,5 млн.
Материал носит информационный характер и не является финансовой рекомендацией.