Blockaid sagte, es habe einen aktiven Exploit entdeckt, der auf das SquidRouterModule auf Ethereum und Base abzielte, wobei 86 Gnosis-Safes in etwa zwei Stunden für etwa 3 Millionen US-Dollar geleert wurden.
Zusammenfassung
- Laut Blockaid wurden innerhalb von etwa zwei Stunden 86 Gnosis-Safes für etwa 3 Millionen US-Dollar geleert.
- Laut Blockaid tauschte der Angreifer gestohlene Vermögenswerte über vom Angreifer kontrollierte Uniswap-V3-Pools in DAI ein.
- Die entsprechende Berichterstattung von crypto.news zeigt, dass es im Mai wiederholt zu DeFi-Angriffen auf Wallets, Bridges und Stablecoins gekommen ist.
Das Blockchain-Sicherheitsunternehmen sagte, die gestohlenen Token seien über von Angreifern kontrollierte Uniswap-V3-Pools in DAI getauscht worden. In der Warnung wurden eine Exploiter-Adresse, ein Konsolidierungs-Wallet und eine beispielhafte Drain-Transaktion aufgeführt.
Laut dem X-Thread von Blockaid zielte der Exploit auf Gnosis Safes ab, die mit dem SquidRouterModule verknüpft waren. Das Unternehmen sagte, der Angriff verlief schnell und habe Dutzende Safes geleert, bevor die gestohlenen Vermögenswerte umgewandelt wurden.
Die Warnung identifiziert Die Exploiter-Adresse lautet 0x9bdc730183821b6bb2b51be30b77c964fa645b91. Etherscan-Daten zeigen, dass die Adresse von Tornado Cash finanziert wurde und 52 Transaktionen verzeichnete, wobei die Aktivität am 25. Mai aufgeführt wurde.
Blockaid wies auch darauf hin, dass sich die Erlöse in einer Konsolidierungsmappe befinden. Etherscan-Daten für dieses Wallet zeigte etwa 3,07 Millionen DAI im Wert von etwa 3,07 Millionen US-Dollar, zusammen mit einem kleinen ETH-Guthaben.
Gestohlene Token werden über Uniswap V3 übertragen
Die Beispieltransaktion geteilt von Blockaid war am 25. Mai um 06:25:23 UTC erfolgreich. Etherscan zeigt, dass die Transaktion von der Exploiter-Adresse kam und mit einer anderen Adresse interagierte, die mit dem gemeldeten Fluss verknüpft war.
Auf derselben Transaktionsseite werden Swaps mit USDC, ENA und USDT über Uniswap V3-Pools angezeigt. Diese Details stimmen mit der Behauptung von Blockaid überein, dass gestohlene Vermögenswerte vor der Konsolidierung über dezentrale Börsenpools geleitet wurden.
Als Reaktion darauf sagte Squid später, dass der Vorfall nichts mit seinem Kernprotokoll und seinen Verträgen zu tun habe. Das Team sagte, dass alle Squid-Benutzer und -Integratoren nicht betroffen seien und keine Maßnahmen erforderlich seien. Laut Squid handelte es sich bei dem ausgenutzten Vertrag um ein Gnosis Safe-Modul eines Drittanbieters, das auf Basescan als „SquidRouterModule“ verifiziert wurde, aber nicht von Squid erstellt, bereitgestellt oder betrieben wurde.
Squid sagte, der Exploit stamme von einem fehlerhaften Smart-Wallet-Modul eines Drittanbieters, das die Opfer als vertrauenswürdiges sicheres Modul hinzugefügt hatten. Das Team fügte hinzu, dass sein offizieller Router-Vertrag architektonisch anders sei und nicht berührt werde.
Möglicherweise hält die Exploit-Welle die Sicherheitsteams aktiv
Der SquidRouterModule-Vorfall ereignete sich in einem aktiven Monat für On-Chain-Sicherheitsteams. Crypto.news gemeldet Einen Tag zuvor verloren die Stablecoins EURR und USDR von StablR ihre Bindung, nachdem ein Angreifer durch eine mutmaßliche Kompromittierung des privaten Schlüssels die Kontrolle über die Münzgenehmigungen übernommen und etwa 2,8 Millionen US-Dollar abgeschöpft hatte.
In diesem Bericht heißt es, Blockaid habe den StablR-Vorfall auf einen kompromittierten Multisig-Besitzer zurückgeführt. Berichten zufolge hat der Angreifer 12,85 Millionen Token geprägt und geringe DEX-Liquidität in Erlöse von 1.115 ETH umgewandelt.
Auch Crypto.news gemeldet Anfang Mai meldete Blockaid einen aktiven Smart-Contract-Exploit, an dem ShapeShifts FOX Colony auf Arbitrum beteiligt war. Dieser Vorfall kostete zunächst 132.700 US-Dollar, bevor ein damit verbundener Exploit den Gesamtverlust auf etwa 182.700 US-Dollar erhöhte.
Die Risiken der DeFi-Infrastruktur bleiben im Fokus
Aktuelle Exploit-Berichterstattung zeigt, dass Angreifer weiterhin auf Schwachstellen rund um Smart Contracts, Proxys, Bridges, Wallets und Schlüsselverwaltung abzielen. Crypto.news berichtete im April, dass DefiLlama dies getan habe protokolliert 518 Krypto-Hacks über einen Zeitraum von 10 Jahren mit einem Gesamtverlust von über 17 Milliarden US-Dollar.
Dem gleichen Bericht zufolge zeigen die jüngsten Vorfälle, dass Angreifer zunehmend auf private Schlüssel, Signatursysteme, Bridges und Wallets abzielen, nicht nur auf Smart-Contract-Code. Dieses Muster macht Modulberechtigungen und sichere Integrationen zu einem wichtigen Bereich, den Teams überprüfen müssen.
Crypto.news berichtete auch, dass TrustedVolumes verlor etwa 6,7 Millionen US-Dollar in einem Exploit, der an einen benutzerdefinierten RFQ-Swap-Proxy gebunden ist. Blockaid und andere Firmen sagten, etwa 5,87 Millionen US-Dollar seien vom Ethereum-Resolver des Protokolls abgezogen worden.
Die neueste SquidRouterModule-Warnung fügt einen weiteren Fall hinzu, bei dem die verbundene DeFi-Infrastruktur zur Angriffsfläche wurde.
