Μια ευπάθεια στο SquidRouterModule — μια μονάδα τρίτου μέρους ενσωματωμένη στο Safe — επέτρεψε σε έναν εισβολέα να αποστραγγίσει περίπου 3,2 εκατομμύρια δολάρια από πορτοφόλια Safe στο Ethereum και στο Base αυτή την εβδομάδα. Η εκμετάλλευση στόχευσε χρήστες που είχαν εγκρίνει τη μονάδα, απορροφώντας κεφάλαια προτού εντοπιστεί η επίθεση. Τόσο η Squid, η ομάδα πίσω από τη μονάδα, όσο και η Safe Labs αποποιήθηκαν δημόσια την ευθύνη, αφήνοντας τους επηρεαζόμενους χρήστες σε αναμονή.
Πώς λειτούργησε η εκμετάλλευση
Το SquidRouterModule είναι ένα εργαλείο δρομολόγησης μεταξύ αλυσίδων που οι χρήστες του Safe μπορούσαν να προσθέσουν στα πορτοφόλιά τους. Ένας εισβολέας βρήκε έναν τρόπο να καταχραστεί τα δικαιώματα της μονάδας, αποσύροντας περιουσιακά στοιχεία από πορτοφόλια που είχαν ενεργές εγκρίσεις. Το ποσό των 3,2 εκατομμυρίων δολαρίων κατανεμήθηκε μεταξύ του Ethereum και του Base — τα δύο δίκτυα όπου η μονάδα ήταν πιο ενεργή.
Ποιος αναλαμβάνει την ευθύνη
Ούτε η Squid, ούτε η Safe Labs. Και οι δύο ομάδες εξέδωσαν δηλώσεις αποστασιοποίησης από την ευθύνη. Η Safe Labs τόνισε ότι η μονάδα είναι λογισμικό τρίτου μέρους, όχι μέρος του βασικού συμβολαίου του Safe. Η Squid υποστήριξε ότι η ίδια η μονάδα δεν παραβιάστηκε — η εκμετάλλευση προήλθε από τον τρόπο που οι χρήστες αλληλεπιδρούσαν με αυτήν. Η ανταλλαγή κατηγοριών σημαίνει ότι κανένα κεντρικό μέρος δεν έχει αναλάβει να αποζημιώσει τα θύματα.
Τι πρέπει να ελέγξουν τώρα οι χρήστες
Εάν έχετε εγκρίνει ποτέ το SquidRouterModule σε ένα πορτοφόλι Safe, τα κεφάλαιά σας μπορεί να εξακολουθούν να κινδυνεύουν. Η εκμετάλλευση είναι ενεργή και δεν έχει επιδιορθωθεί — ο εισβολέας μπορεί να χτυπήσει ξανά. Οι ερευνητές ασφαλείας συνιστούν την άμεση ανάκληση των εγκρίσεων για τη μονάδα και τη μεταφορά περιουσιακών στοιχείων σε ένα νέο Safe χωρίς ενεργοποιημένη τη μονάδα. Η ζημία μέχρι στιγμής είναι 3,2 εκατομμύρια δολάρια, αλλά ο αριθμός αυτός θα μπορούσε να αυξηθεί εάν οι χρήστες δεν ενεργήσουν.
Το ερώτημα για το ποιος θα καλύψει τις απώλειες — αν κάποιος το κάνει — παραμένει αναπάντητο.
