Уязвимость стороннего модуля привела к потере $3,2 млн из кошельков Safe

Платформа безопасности Blockaid сообщила об инциденте, в результате которого из кошельков Safe было выведено около $3,2 млн. Атака затронула сети Ethereum и Base и была связана с контрактом под названием SquidRouterModule.

Первоначально возникла путаница относительно возможной причастности кроссчейн-протокола Squid. Однако команда Squid оперативно заявила, что инцидент не связан с их основным протоколом, а эксплуатируется сторонний модуль, интегрированный в кошельки Safe. По словам представителей, контракт использует то же имя, но имеет другой код.

Согласно данным Blockaid, за примерно два часа были скомпрометированы 86 аккаунтов Safe (ранее Gnosis Safe). Все украденные токены через управляемые злоумышленником пулы Uniswap V3 были обменяны на стейблкоин Dai (DAI).

Предположительной причиной атаки стала уязвимость в SquidRouterModule, которая позволила злоумышленнику выдать себя за авторизованных делегатов и инициировать несанкционированные свопы токенов.

Генеральный директор Safe Labs Рахул Рамалла отметил, что пострадавшие аккаунты, скорее всего, не управлялись через официальный продукт Safe Wallet, и пока неясно, как и где они были созданы. Он добавил, что Safe Wallet предупреждает о подобных рисках с помощью функции Safe Shield, которая помечает потенциально опасные модули. Согласно заявлению, эксплуатированный модуль уже был помечен Blockaid как вредоносный.

Инцидент подчеркивает, как доверенный модуль кошелька может быть использован для перемещения средств при наличии широких прав выполнения в рамках смарт-аккаунта.