Svmuu讯 SquidがXプラットフォームで発表したところによると、今回のインシデントはSquidの中核プロトコルおよびコントラクトとは無関係であり、すべてのSquidユーザーおよびインテグレーターに影響はなく、何らかのアクションを取る必要はありません。
本日、BaseとEthereumネットワーク上のサードパーティ製Gnosis Safeモジュールが攻撃を受け、約320万ドルの損失が発生しました。この脆弱性のあるコントラクトはBasescan上で「SquidRouterModule」という名称で検証されていますが、このコントラクトはSquidによって構築、デプロイ、運用されたものではなく、Squidおよびその他のプロトコルを統合することを選択したサードパーティ製スマートウォレット製品であり、Squidとの関連性はありません。
攻撃の原理は、このサードパーティ製モジュールが、呼び出し元から提供される定数文字列をメッセージセキュリティプルーフとして受け入れることです。この文字列は検証済みのコントラクトコード内で公開されており、攻撃者がそれを入力することで任意のcalldata配列を実行し、自由に資金を盗むことが可能でした。被害者のSafeウォレットは、この問題のあるコントラクトを信頼できるSafeモジュールとして追加していたため、このコントラクトは署名なしでSafe内の任意のトークンを管理できてしまいました。Squid自身のルーターコントラクト(0xce16...D666)はアーキテクチャが異なり、影響を受けておらず、Squidユーザーの資金、承認、および統合はすべて完全に安全です。
初期の公開報道では、Basescan上のコントラクト検証名に「SquidRouter」と記載されていたため、正確な表現は以下の通りです:サードパーティ製のSquidRouterModuleが攻撃を受けたのであり、SquidのRouterコントラクトではありません。このコントラクト名はSquidと同じですが、Squidのコードではありません。Squidは引き続き状況を監視しており、重大な変更があった場合には情報を更新します。