Вразливість у SquidRouterModule — сторонньому модулі, інтегрованому з Safe — дозволила зловмиснику викачати приблизно $3,2 млн із гаманців Safe на Ethereum і Base цього тижня. Експлойт націлився на користувачів, які схвалили модуль, виводячи кошти до того, як атаку помітили. І Squid, команда, що стоїть за модулем, і Safe Labs публічно відмовилися від відповідальності, залишаючи постраждалих користувачів у невизначеності.
Як працював експлойт
SquidRouterModule — це інструмент для кросчейн-маршрутизації, який користувачі Safe могли додавати до своїх гаманців. Зловмисник знайшов спосіб зловживати дозволами модуля, виводячи активи з гаманців, що мали активні схвалення. Викрадені $3,2 млн були розподілені між Ethereum і Base — двома мережами, де модуль був найактивнішим.
Хто бере на себе провину
Не Squid. Не Safe Labs. Обидві команди оприлюднили заяви, дистанціюючись від відповідальності. Safe Labs наголосила, що модуль є стороннім програмним забезпеченням, а не частиною основного контракту Safe. Squid стверджує, що сам модуль не було зламано — експлойт виник через те, як користувачі взаємодіяли з ним. Перекладання відповідальності означає, що жодна центральна сторона не взяла на себе зобов'язання компенсувати збитки постраждалим.
Що користувачам слід перевірити зараз
Якщо ви коли-небудь схвалювали SquidRouterModule на гаманці Safe, ваші кошти все ще можуть бути під загрозою. Експлойт активний і не був виправлений — зловмисник може атакувати знову. Фахівці з безпеки рекомендують негайно відкликати дозволи для модуля та перемістити активи на новий Safe без увімкненого модуля. Наразі збитки становлять $3,2 млн, але ця цифра може зрости, якщо користувачі не вживуть заходів.
Питання про те, хто покриє збитки — якщо взагалі хтось — залишається без відповіді.
