クロスチェーン流動性プロトコルのSquidは、本日発生した約320万ドルのセキュリティインシデントに関して声明を発表し、攻撃はSquidのコアプロトコルやコントラクトとは無関係であると述べました。すべてのSquidユーザーおよびインテグレーターは影響を受けず、何ら行動を取る必要はありません。Squidは、悪用された脆弱性がサードパーティのGnosis Safeモジュールにあると指摘しました。このモジュールはBaseおよびEthereumネットワークに展開され、Basescanでは「SquidRouterModule」として検証されています。ただし、このコントラクトはSquidによって開発、展開、運用されたものではなく、公式のSquidルーターコントラクトでもありません。むしろ、Squidのようなプロトコルを統合したサードパーティのスマートウォレット製品です。攻撃は、このモジュールの深刻な検証の欠陥に起因しています。コントラクトは、呼び出し元から提供された固定文字列を「安全なメッセージ」の検証の基礎として使用していましたが、この文字列は検証済みのコントラクトコードから直接取得できたため、攻撃者は任意のコールデータ配列を実行し、資金を盗むことができました。
Squidはセキュリティインシデントを明らかにする:脆弱性はサードパーティのSafeモジュールに起因し、コアプロトコルには影響なし