开场
据安全公司 Blockaid 和 PeckShield 称,某第三方 Gnosis Safe 模块在以太坊 Ethereum 和 Base 上遭到利用,在大约两小时内从 86 个 Safes 中耗尽约 320 万美元。被利用的合约在 Basescan 上以“SquidRouterModule”名义完成验证,但该合约并非由跨链协议 Squid 构建、部署或运营。Squid 联合创始人 Fig 在 X 上澄清:“名为 SquidRouterModule 的合约与 Squid 无关。我们目前不知道是谁编写或部署了它。”该漏洞之所以成功,是因为该模块将调用者提供的常量字符串作为消息安全的证明,从而让攻击者能够执行任意 calldata,并在没有签名的情况下花费受害者 Safes 中持有的代币。此次事件反映了 DeFi 领域持续存在的安全漏洞:该领域在 2026 年已记录超过 7.7 亿美元的损失;仅 4 月就记录了大约 30 起事件,且被盗走超过 6.3 亿美元。
利用机制
脆弱的 SquidRouterModule 接受调用者提供的常量字符串,作为消息安全的加密证明。通过传入该字符串,攻击者可以执行任意 calldata,并在不需要有效签名的情况下访问受害者 Safes 中的任何代币。
根据 Squid 的官方声明,该合约的核心路由在架构上与此次漏洞利用完全隔离,且未被触及。项目强调,早期公开报道中提及的“SquidRouter”在技术上是不准确的。合约虽然共享 Squid 这一名称,但它是第三方产品,选择在其他协议中与 Squid 集成,并且与团队没有任何联系。
攻击者的方法与资金流
据 Blockaid 称,攻击者部署了基于 Foundry 的利用合约,调用模块的 DelegateBundler 路径,冒充每个 Safe 上的已授权代表,并通过 Uniswap V3 池触发任意交换。
目标资产通过攻击者预先建立的 Uniswap V3 池被换成一个毫无价值的攻击者自建代币,名为“u”。随后攻击者从这些池中移除流动性,并将所得款项整合为约 307 万 DAI;据 PeckShield 称,这些资金现由一个以“0xa447...54859”开头的钱包持有。
PeckShield 识别到,攻击者最初的资金 2.1 ETH 来自 Tornado Cash。
Squid 的回应
Squid 表示,尽管该合约带有 Squid 名称,但它是与该协议无关的第三方产品。Fig 的声明强调了项目的缺乏参与:“我们目前不知道是谁编写或部署了它。”Squid 的官方 X 页面还补充称,其核心路由在架构上与此次问题隔离,未被触及。
Squid 近期融资与安全宣称
Squid 最近宣布一轮 600 万美元的战略融资,由 North Island Ventures 牵头,Ripple、Dialectic 和 Borderless 参与。
在讨论融资期间,Squid 的 Fig 告诉 The Block,该项目截至目前已完成 9 次独立安全审计,未记录任何漏洞利用,并保持 99.99% 的正常运行时间。当被问及 Squid 是否希望在市场其他地方出现安全问题后,为正在重新评估跨链基础设施的项目提供服务时,Fig 表示该平台愿意与那些寻求安全互联的团队进行交流。
2026 年 DeFi 领域损失
跨链互操作仍是加密领域最具挑战的方向之一。多年来,该领域经历过多起桥接漏洞利用和安全事件。The Block 的数据仪表盘显示,DeFi 在 2026 年已记录超过 7.7 亿美元的损失;仅 4 月就创下约 30 起事件的纪录,并且被盗走超过 6.3 亿美元。
