Squid tách core protocol khỏi lỗi Safe module, ảnh hưởng 86 ví

Squid phủ nhận liên quan trực tiếp đến vụ khai thác smart contract khiến khoảng 3 triệu USD bị rút khỏi 86 ví Gnosis Safe trên Ethereum và Base.

Điểm gây chú ý là lỗ hổng được nhắc tới nằm ở một module của bên thứ ba có tên “SquidRouterModule”, không phải hợp đồng core của Squid. Sự việc làm nổi bật rủi ro từ các module ví và quyền ủy nhiệm trong hệ sinh thái DeFi.

Diễn biến vụ khai thác trên Ethereum và Base

Blockaid cho biết họ đã phát hiện một vụ khai thác đang diễn ra vào ngày 25/5, nhắm vào 86 ví Gnosis Safe trong khoảng hai giờ. Kẻ tấn công được cho là đã lợi dụng lỗ hổng trong hàm executeSameChainActions() gắn với hợp đồng “SquidRouterModule”.

Cơ chế này cho phép giao dịch độc hại giả mạo các delegate được ủy quyền và thực hiện hoán đổi token trái phép từ ví nạn nhân. Tài sản bị rút sau đó được chuyển qua các pool Uniswap V3 do kẻ tấn công kiểm soát trước khi được gom thành khoảng 3,07 triệu USD DAI.

Squid nói hợp đồng bị khai thác không phải core protocol

Squid cho biết vụ việc không ảnh hưởng đến các hợp đồng cốt lõi, người dùng hay các tích hợp chính của họ. Theo giải thích của dự án, module bị khai thác là một sản phẩm ví thông minh của bên thứ ba có tích hợp với Squid, nhưng không do công ty xây dựng, triển khai hay vận hành.

Trong phản hồi công khai, Squid nhấn mạnh rằng cách mô tả chính xác là “một SquidRouterModule của bên thứ ba bị khai thác, chứ không phải Router contract của Squid”. Dự án cũng cho biết hợp đồng dễ tổn thương đã dùng một chuỗi hằng do bên gọi cung cấp làm bằng chứng cho việc thông điệp an toàn, từ đó cho phép thực thi calldata tùy ý sau khi module được thêm như một Safe module đáng tin cậy.

Vì các Safe module đáng tin cậy có thể chi tiêu tài sản mà không cần thêm chữ ký, kẻ tấn công được cho là đã rút token trực tiếp từ những ví bị ảnh hưởng.

Rủi ro từ module ví và quyền ủy nhiệm trong DeFi

Vụ việc cho thấy rủi ro không chỉ nằm ở hợp đồng gốc của một giao thức mà còn ở các lớp tích hợp xung quanh nó. Khi ví, module ủy quyền và hạ tầng trung gian được cấp quyền rộng, một lỗi ở thành phần phụ trợ cũng có thể dẫn đến thiệt hại lớn.

Trường hợp này còn cho thấy cách đặt tên và quan hệ tích hợp có thể tạo ra tác động danh tiếng vượt ra ngoài phạm vi hợp đồng bị khai thác. Hiện chưa có dấu hiệu cho thấy router contract chính hoặc quỹ người dùng cốt lõi của Squid bị xâm phạm.

Tổng kết

Vụ việc xoay quanh một module bên thứ ba liên kết với Squid, không phải hợp đồng core của giao thức. Với các ví thông minh và cơ chế delegate, rủi ro từ quyền truy cập mở rộng vẫn là điểm cần theo dõi trong các tích hợp DeFi.