Një vulnerabilitet në SquidRouterModule — një modul i tretë të integruar me Safe — i lejoi një sulmuesi të tërheqë rreth 3,2 milion dollarë nga portofolët Safe në Ethereum dhe Base këtë javë. Eksploitimi synoi përdoruesit që kishin autorizuar modulin, duke nxjerrë fondet para se sulmi të zbulohet. Të dyja, Squid, ekipi pas modulit, dhe Safe Labs kanë mohuar publikisht përgjegjësinë, duke lënë përdoruesit e prekur pa zgjidhje të qartë.
Si funksionoi eksploitimi
SquidRouterModule është një mjet rrugëzimi kryqëzuar që përdoruesit e Safe mund të shtojnë në portofolët e tyre. Një sulmues gjeti mënyrën për të abuzuar me autorizimet e modulit, duke nxjerrë asete nga portofolët me autorizime aktive. Shuma prej 3,2 milion dollarë u nda në Ethereum dhe Base — dy rrjetet ku moduli ishte më aktiv.
Kush pranon fajin
Jo Squid. Jo Safe Labs. Të dyja ekipe kanë publikuar deklarata që shpërndanin përgjegjësinë. Safe Labs theksoi se moduli është softuer i tretë, jo pjesë e kontratës kryesore Safe. Squid argumentoi se moduli vetë nuk ishte komprometuar — eksploitimi rrjedh nga mënyra se si përdoruesit ndërvepronin me të. Kjo shpërndarje e fajit do të thotë se asnjë palë qendrore nuk ka angazhuar të kompensojë viktimat.
Çfarë duhet të kontrollojnë përdoruesit tani
Nëse keni autorizuar ndonjëherë SquidRouterModule në një portofolë Safe, fondet tuaja mund të jenë ende në rrezik. Eksploitimi është aktiv dhe nuk është riparuar — sulmuesi mund të sulmojë sërish. Kërkuesit e sigurisë rekomandojnë të anulojnë menjëherë autorizimet për modulin dhe të zhvendosen asetet në një portofolë Safe të ri pa modulin aktiv. Dëmi deri më tani është 3,2 milion dollarë, por kjo shumë mund të rritet nëse përdoruesit nuk veçojnë menjëherë.
Pyetja se kush do të kryejë humbjet — nëse do të ketë — mbetet pa përgjigje.
