یک آسیبپذیری در SquidRouterModule — یک ماژول شخص ثالث که با Safe ادغام شده — به یک مهاجم اجازه داد تا حدود 3.2 میلیون دلار از کیفپولهای Safe در شبکههای اتریوم و بیس در این هفته خارج کند. این سوءاستفاده کاربرانی را هدف قرار داد که ماژول را تأیید کرده بودند و قبل از شناسایی حمله، وجوه را به سرقت برد. هر دو تیم Squid (تیم پشت این ماژول) و آزمایشگاههای Safe (Safe Labs) به طور عمومی مسئولیت را رد کردهاند و کاربران آسیبدیده را در بلاتکلیفی رها کردهاند.
نحوه عملکرد سوءاستفاده
SquidRouterModule یک ابزار مسیریابی بین زنجیرهای است که کاربران Safe میتوانستند به کیفپولهای خود اضافه کنند. یک مهاجم راهی برای سوءاستفاده از مجوزهای ماژول پیدا کرد و داراییها را از کیفپولهایی که تأییدیه فعال داشتند خارج کرد. مبلغ 3.2 میلیون دلار بین اتریوم و بیس — دو شبکهای که ماژول در آنها بیشتر فعال بود — تقسیم شد.
چه کسی مسئولیت را میپذیرد
نه Squid، نه آزمایشگاههای Safe. هر دو تیم بیانیههایی صادر کردند و خود را از مسئولیت دور کردند. آزمایشگاههای Safe تأکید کردند که این ماژول یک نرمافزار شخص ثالث است و بخشی از قرارداد اصلی Safe نیست. Squid استدلال کرد که خود ماژول به خطر نیفتاده است — سوءاستفاده از نحوه تعامل کاربران با آن ناشی شده است. این انگشتنمایی به این معناست که هیچ طرف مرکزی برای جبران خسارت قربانیان پیشقدم نشده است.
کاربران اکنون چه مواردی را باید بررسی کنند
اگر تا به حال SquidRouterModule را در یک کیفپول Safe تأیید کردهاید، ممکن است وجوه شما همچنان در معرض خطر باشد. این سوءاستفاده فعال است و وصله نشده است — مهاجم میتواند دوباره ضربه بزند. محققان امنیتی توصیه میکنند فوراً تأییدیههای ماژول را لغو کرده و داراییها را به یک کیفپول Safe جدید بدون فعال بودن ماژول منتقل کنید. خسارت تا کنون 3.2 میلیون دلار است، اما اگر کاربران اقدام نکنند، این عدد میتواند افزایش یابد.
این سوال که چه کسی ضررها را پوشش خواهد داد — اگر کسی — همچنان بیپاسخ مانده است.
