Из кошельков Gnosis Safe похитили около $3,2 млн через уязвимость в SquidRouterModule

Ошибка в модуле SquidRouterModule позволила злоумышленнику вывести порядка $3,2 млн с 86 кошельков Gnosis Safe в сетях Ethereum и Base. Вся операция заняла примерно два часа. Инцидент 25 мая выявила компания по блокчейн-безопасности Blockaid. Похищенные средства оперативно обменяли на DAI через пулы Uniswap V3, которые атакующий открыл заранее. В итоге около $3,07 млн были сконцентрированы на одном адресе. По данным наблюдений, кошелек получателя — 0xa447…54859. Первичное финансирование атаки, как сообщается, поступило через Tornado Cash. Уязвимый компонент не входил в ядро протокола Squid: речь шла о стороннем дополнении. Squid, комментируя ситуацию, подчеркнула, что SquidRouterModule полностью независим от ее основных смарт-контрактов и что ключевая инфраструктура компании остается в безопасности. Как сработала атака Blockaid и PeckShield связывают взлом с некорректной проверкой идентичности в модуле: он недостаточно строго определял, кто именно его вызывает. Это позволило подставлять строки, контролируемые вызывающей стороной, и выдавать себя за авторизованных пользователей, добиваясь выполнения транзакций без согласия владельцев кошельков. Среди затронутых активов назывались USDC, ENA и USDT. После вывода средства пропускались через Uniswap V3 и конвертировались в DAI. Риск модульной архитектуры Сценарий с внешними модулями, которые открывают возможность несанкционированных операций, остается известным вектором риска в DeFi как минимум с 2020 года. Модульная архитектура, за счет которой Gnosis Safe гибко расширяется, одновременно увеличивает площадь атаки. SquidRouterModule был верифицирован на Basescan, что могло создавать впечатление надежности. При этом верификация в блок-эксплорере означает лишь доступность исходного кода для просмотра и не подтверждает аудит, устойчивость к атакам или отсутствие критических ошибок. Двухчасовой промежуток между началом вывода и финальной консолидацией показывает, насколько быстро в DeFi перемещаются средства после обнаружения уязвимости. На момент, когда Blockaid зафиксировала подозрительную активность, операция уже была завершена, а выручка припаркована в DAI. Что это значит для инвесторов Если в вашем Gnosis Safe включен SquidRouterModule, имеет смысл немедленно отозвать выданные ему разрешения. Под риском находится любой кошелек, предоставивший модулю доступ, независимо от того, был ли он целью именно этой атаки. Использование Tornado Cash для стартового финансирования и пулов Uniswap V3 для конвертации вновь поднимает вопрос о способности DeFi-экосистемы реагировать на взломы в реальном времени. После попадания средств в миксер их возврат становится значительно сложнее, а консолидация в DAI упрощает последующее перераспределение или перевод через мосты. Хотя ядро протокола Squid, по заявлениям компании, не пострадало, ей предстоит объяснить, почему модуль с ее брендингом — даже будучи разработанным сторонними командами — стал каналом для многомиллионной кражи.