स्क्विडराउटरमॉड्यूल — सेफ के साथ एकीकृत एक तृतीय-पक्ष मॉड्यूल — में एक कमजोरी के कारण हमलावर ने इस सप्ताह Ethereum और Base पर Safe वॉलेट से लगभग $3.2 मिलियन निकाल लिए। इस शोषण ने उन उपयोगकर्ताओं को निशाना बनाया जिन्होंने मॉड्यूल को स्वीकृति दी थी, और हमले का पता चलने से पहले ही धन निकाल लिया गया। मॉड्यूल के पीछे की टीम स्क्विड और सेफ लैब्स दोनों ने सार्वजनिक रूप से जिम्मेदारी से इनकार कर दिया है, जिससे प्रभावित उपयोगकर्ता अनिश्चितता में हैं।
शोषण कैसे काम किया
स्क्विडराउटरमॉड्यूल एक क्रॉस-चेन रूटिंग टूल है जिसे Safe उपयोगकर्ता अपने वॉलेट में जोड़ सकते हैं। एक हमलावर ने मॉड्यूल की अनुमतियों का दुरुपयोग करने का तरीका ढूंढ लिया, और सक्रिय स्वीकृति वाले वॉलेट से संपत्ति निकाल ली। $3.2 मिलियन की राशि Ethereum और Base — दो ऐसे नेटवर्क जहाँ मॉड्यूल सबसे अधिक सक्रिय था — के बीच विभाजित थी।
दोष कौन ले रहा है
न स्क्विड, न सेफ लैब्स। दोनों टीमों ने जिम्मेदारी से दूरी बनाते हुए बयान जारी किए। सेफ लैब्स ने जोर दिया कि मॉड्यूल तृतीय-पक्ष सॉफ्टवेयर है, न कि कोर Safe अनुबंध का हिस्सा। स्क्विड ने तर्क दिया कि मॉड्यूल से समझौता नहीं किया गया था — शोषण उपयोगकर्ताओं द्वारा इसके साथ बातचीत करने के तरीके से उत्पन्न हुआ। इस उंगली उठाने का मतलब है कि किसी केंद्रीय पक्ष ने पीड़ितों को मुआवजा देने के लिए आगे नहीं आया है।
उपयोगकर्ताओं को अब क्या जाँचना चाहिए
यदि आपने कभी Safe वॉलेट पर स्क्विडराउटरमॉड्यूल को स्वीकृति दी है, तो आपकी धनराशि अभी भी जोखिम में हो सकती है। शोषण सक्रिय है और इसे ठीक नहीं किया गया है — हमलावर फिर से हमला कर सकता है। सुरक्षा शोधकर्ता तुरंत मॉड्यूल के लिए स्वीकृति रद्द करने और संपत्ति को मॉड्यूल सक्षम किए बिना एक नए Safe में स्थानांतरित करने की सलाह देते हैं। अब तक का नुकसान $3.2 मिलियन है, लेकिन यदि उपयोगकर्ता कार्रवाई नहीं करते हैं तो यह संख्या बढ़ सकती है।
नुकसान को कौन कवर करेगा — यदि कोई करेगा — यह सवाल अनुत्तरित है।
