Разработчики кроссчейн-моста Squid заявили, что не имеют отношения к контракту SquidRouterModule, который оказался уязвимым и был использован хакерами для кражи около 3 миллиона долларов США. О происшествии ранее сообщили специалисты Blockaid.
По данным экспертов, атака затронула 86 кошельков в сетях Ethereum и Base. Аналитики PeckShield также подтвердили инцидент, отметив, что злоумышленник пополнил адрес через Tornado Cash на 2,1 ETH, а затем обменял похищенные средства на 3 миллиона DAI.
В Squid пояснили, что компрометации подвергся сторонний модуль для Gnosis Safe. Хотя контракт зарегистрирован в Basescan под названием SquidRouterModule, он не относится к официальной инфраструктуре проекта. Речь идет о внешнем смарт-кошельке, интегрировавшем поддержку Squid.
По словам команды, уязвимость возникла из-за того, что модуль принимал заранее заданную строку как подтверждение безопасности сообщения. Это позволяло злоумышленнику выполнять произвольные вызовы и выводить средства пользователей.
Проблема усугубилась тем, что владельцы Safes вручную добавляли уязвимый контракт в список доверенных модулей, тем самым предоставляя ему право тратить токены без дополнительных подписей.
Разработчики подчеркнули, что основной маршрутизатор Squid использует иную архитектуру и не пострадал в результате атаки.