金色财经の報道によると、クロスチェーン流動性プロトコルSquidは本日発生した約320万ドルのセキュリティ事件について声明を発表し、今回の攻撃はSquidのコアプロトコルおよびコントラクトとは無関係であり、すべてのSquidユーザーと統合パートナーは影響を受けておらず、何ら操作を行う必要はないと述べました。Squidは、悪用されたのは第三者のGnosis Safeモジュールであり、このモジュールはBaseとイーサリアムネットワークに展開されており、Basescan上で「SquidRouterModule」として検証されていると述べています。しかし、そのコントラクトはSquidによって開発、展開、運用されたものではなく、Squid公式のRouterコントラクトでもなく、Squidなどのプロトコルを統合した第三者のスマートウォレット製品です。攻撃の原因は、このモジュールに深刻な検証の欠陥が存在したことにあります:コントラクトは呼び出し側が提供した固定文字列を「セキュリティメッセージ」として検証の根拠にしており、その文字列は検証済みのコントラクトコードから直接公開されているため、攻撃者はこれを利用して任意のcalldata配列を実行し資金を盗むことができました。
Squid安全事件の明確化:脆弱性はサードパーティのSafeモジュールに起因し、コアプロトコルには影響ありません
しかし、そのコントラクトはSquidによって開発、展開、運用されたものではなく、Squid公式のRouterコントラクトでもなく、Squidなどのプロトコルを統合した第三者のスマートウォレット製品です。攻撃の原因は、このモジュールに深刻な検証の欠陥が存在したことにあります:コントラクトは呼び出し側が提供した固定文字列を「セキュリティメッセージ」として検証の根拠にしており、その文字列は検証済みのコントラクトコードから直接公開されているため、攻撃者はこれを利用して任意のcalldata配列を実行し資金を盗むことができました。