第三方模块漏洞引发跨链资产损失

一项针对第三方集成模块的安全缺陷被利用,造成以太坊与Base链上共计86个Gnosis Safe钱包遭受损失,累计金额约为320万美元。此次攻击在两小时内完成,由安全机构Blockaid与PeckShield联合确认。 涉事合约在Basescan上显示名称为SquidRouterModule,但项目方Squid明确表示该模块与其核心系统无任何关联,且未参与其部署或集成过程。

Squid否认关联并修正早期误报

Squid联合创始人通过社交平台公开说明,名为SquidRouterModule的合约虽名称相似,但并非其协议组成部分。团队强调其路由系统始终独立运行,未受此次事件影响。 项目方指出,该模块由第三方开发,并在未事先协调的情况下接入多个协议。官方账户已更新此前将漏洞归因于其系统的报道,明确表示从未与该合约开发者建立联系,系统在事件期间保持安全状态。

攻击路径:伪造验证与资产置换

调查发现,该模块存在将调用方提供的字符串作为消息安全凭证的逻辑缺陷,攻击者借此绕过签名验证流程。一旦通过验证,即可在受影响的钱包中执行任意操作,实现未经授权的代币转移。 攻击者使用基于Foundry框架的恶意合约,借助模块的DelegateBundler功能伪装成授权委托方。被盗资产经由Uniswap V3流动性池进行兑换,转换为标记为"u"的无价值代币。 完成置换后,资金从流动性池中撤出,最终整合为约307万美元的DAI并转入指定钱包。链上追踪显示初始资金来源于隐私协议,进一步增加了溯源难度。

行业安全形势持续承压

此事件再次凸显加密资产生态在2026年面临的安全挑战。今年以来,去中心化金融平台累计损失已超7.7亿美元,仅四月份便发生约30起独立安全事件,导致各类协议损失超过6.3亿美元。 尽管如此,Squid近期宣布完成由North Island Ventures领投的600万美元融资,多家知名机构参与。项目方表示其系统已完成九项独立审计,运行可用性达99.99%,此前未出现过安全漏洞记录。