SquidRouterModule 漏洞遭利用，86 個 Gnosis Safe 錢包被盜約 320 萬美元

一個名為 SquidRouterModule 的模組被揭發存在漏洞，黑客在約兩小時內，從分布於 Ethereum 及 Base 的 86 個 Gnosis Safe 錢包抽走約 320 萬美元。區塊鏈安全公司 Blockaid 表示於 5 月 25 日發現異常活動。 Blockaid 指出，被盜資金其後迅速經由攻擊者自建的 Uniswap V3 池兌換為 DAI，並集中至單一地址，合共約 307 萬美元。涉事收款錢包地址為 0xa447…54859；攻擊者的初始資金來源與 Tornado Cash 有關。 就漏洞成因，Blockaid 與 PeckShield 均指向模組內的身份驗證處理不當。SquidRouterModule 未有妥善核實實際呼叫者身份，攻擊者透過注入由呼叫者提供的字串冒充獲授權用戶，誘使模組在未經錢包持有人同意下執行交易。事件涉及被冒用與轉走的資產包括 USDC、ENA 及 USDT，最終經 Uniswap V3 統一換成 DAI。 Squid 隨即澄清，SquidRouterModule 並非 Squid 核心協議一部分，而是獨立於核心協議與合約運作的第三方附加元件，並強調其主要營運系統仍然安全。 市場人士指出，第三方模組令交易可在未經擁有人同意下被觸發，早於 2020 年已被視為 DeFi 的典型風險之一。Gnosis Safe 的模組化架構提升可擴展性，同時亦擴大攻擊面。值得留意的是，SquidRouterModule 已在 Basescan 完成驗證，容易令用戶誤以為具備可信背書；但區塊瀏覽器的「已驗證」僅代表原始碼可公開查閱，並不等同已審計、經實戰驗證或不存在重大漏洞。 從資金流向可見 DeFi 漏洞被發現後的資金轉移速度極快：由開始抽走到完成集中僅約兩小時。當 Blockaid 發出警報時，攻擊者已完成兌換並將收益停泊於 DAI。 對投資者而言，最直接的應對是：如你的 Gnosis Safe 錢包已啟用 SquidRouterModule，應立即撤銷其權限。任何曾授權該模組的錢包均可能面臨風險，即使未在本次事件中被點名。 此外，事件再度引發對 DeFi 即時應對能力的關注：攻擊者以 Tornado Cash 作為初始資金來源、再利用 Uniswap V3 進行資金清洗，使追蹤與追回難度大增；資金集中為 DAI 後，亦更易被重新部署或跨鏈轉移。即使 Squid 核心協議未受影響，公司仍需面對外界質疑：為何一個冠以其名稱、即使屬獨立開發的模組，最終成為數百萬美元盜竊的入口。