Squid: 보안 사건은 Squid 핵심 프로토콜 및 계약과 무관, 모든 Squid 사용자 및 통합 파트너에 영향 없음

Odaily Planet Daily 보도, Squid가 X 플랫폼을 통해 밝히길, 이번 사건은 Squid 핵심 프로토콜 및 계약과 무관하며, 모든 Squid 사용자 및 통합 파트너는 영향을 받지 않았으므로 별도 조치가 필요하지 않습니다.

오늘 Base 및 Ethereum 네트워크 상의 타사 Gnosis Safe 모듈이 공격을 받아 약 320만 달러의 손실이 발생했습니다. 이 취약 계약은 Basescan에서 "SquidRouterModule"이라는 이름으로 검증되었으나, 해당 계약은 Squid가 구축, 배포 또는 운영한 것이 아닙니다. 이는 Squid 및 기타 프로토콜을 통합하기로 선택한 타사 스마트 월렛 제품이며, Squid와는 아무런 관련이 없습니다.

공격 원리는 해당 타사 모듈이 호출자가 제공하는 상수 문자열을 메시지 보안 증명으로 수락하는 데 있습니다. 이 문자열은 검증된 계약 코드 내에서 공개적으로 확인 가능하며, 공격자가 이를 입력 후 임의의 calldata 배열을 실행하여 자금을 마음대로 탈취할 수 있었습니다. 피해자의 Safe 월렛이 해당 문제 계약을 신뢰할 수 있는 Safe 모듈로 추가함으로써, 해당 계약은 서명 없이 Safe 내 모든 토큰을 사용할 수 있게 되었습니다. Squid 자체 라우터 계약(0xce16...D666)은 아키텍처가 달라 영향을 받지 않았으며, Squid 사용자 자금, 승인 및 통합은 모두 완벽하게 안전합니다.

초기 공개 보도에서는 Basescan의 계약 검증 이름이 "SquidRouter"를 언급한 것과 관련이 있을 수 있습니다. 정확한 표현은 다음과 같습니다: 타사 SquidRouterModule이 공격을 받은 것이지, Squid의 Router 계약이 아닙니다. 해당 계약 이름은 Squid와 동일하지만, Squid의 코드는 아닙니다. Squid는 상황을 지속적으로 모니터링하고 있으며, 중대한 변화가 있을 경우 정보를 업데이트할 예정입니다.