Squid: Sự cố bảo mật không liên quan đến giao thức cốt lõi và hợp đồng của Squid, tất cả người dùng và bên tích hợp Squid đều không bị ảnh hưởng

Odaily tin tức, Squid đã đăng tải trên nền tảng X rằng sự cố lần này không liên quan đến giao thức cốt lõi và hợp đồng của Squid, tất cả người dùng và bên tích hợp Squid đều không bị ảnh hưởng, không cần thực hiện bất kỳ hành động nào.

Hôm nay, một module Gnosis Safe của bên thứ ba trên mạng lưới Base và Ethereum đã bị tấn công, thiệt hại khoảng 3,2 triệu USD. Hợp đồng lỗ hổng này được xác thực trên Basescan với tên "SquidRouterModule", nhưng hợp đồng này không phải do Squid xây dựng, triển khai hoặc vận hành, mà là một sản phẩm ví thông minh của bên thứ ba chọn tích hợp Squid và các giao thức khác, và không liên quan đến Squid.

Nguyên lý tấn công là module bên thứ ba này chấp nhận chuỗi hằng số do người gọi cung cấp làm bằng chứng bảo mật tin nhắn. Chuỗi hằng số này có sẵn công khai trong mã hợp đồng đã được xác thực. Kẻ tấn công nhập vào đó và có thể thực thi mảng calldata tùy ý, tùy tiện đánh cắp tiền. Ví Safe của nạn nhân đã thêm hợp đồng có vấn đề này như một Module Safe đáng tin cậy, cho phép hợp đồng đó chi phối bất kỳ token nào trong Ví Safe mà không cần chữ ký. Hợp đồng Router của riêng Squid (0xce16...D666) có kiến trúc khác, không bị ảnh hưởng. Tiền, ủy quyền và tích hợp của người dùng Squid hoàn toàn an toàn.

Báo cáo công khai ban đầu có thể đề cập đến "SquidRouter" do tên xác thực hợp đồng trên Basescan. Diễn đạt chính xác nên là: SquidRouterModule của bên thứ ba bị tấn công, chứ không phải hợp đồng Router của Squid. Tên hợp đồng này giống với Squid, nhưng không phải mã của Squid. Squid đang liên tục theo dõi tình hình và sẽ cập nhật thông tin nếu có thay đổi lớn.