Một lỗ hổng trong SquidRouterModule – một module của bên thứ ba được tích hợp với Safe – đã cho phép kẻ tấn công rút khoảng 3,2 triệu USD từ các ví Safe trên Ethereum và Base trong tuần này. Cuộc tấn công nhắm vào những người dùng đã phê duyệt module, rút tiền trước khi bị phát hiện. Cả Squid, đội ngũ phát triển module, và Safe Labs đều công khai từ chối trách nhiệm, khiến những người dùng bị ảnh hưởng rơi vào tình trạng mắc kẹt.
Cách thức khai thác hoạt động
SquidRouterModule là một công cụ định tuyến xuyên chuỗi mà người dùng Safe có thể thêm vào ví của mình. Kẻ tấn công đã tìm cách lạm dụng quyền của module, rút tài sản từ những ví có phê duyệt đang hoạt động. Số tiền 3,2 triệu USD được chia đều trên Ethereum và Base – hai mạng mà module hoạt động nhiều nhất.
Ai chịu trách nhiệm
Không phải Squid. Không phải Safe Labs. Cả hai đội đều đưa ra tuyên bố từ chối trách nhiệm. Safe Labs nhấn mạnh module là phần mềm của bên thứ ba, không phải một phần của hợp đồng cốt lõi Safe. Squid cho rằng bản thân module không bị xâm phạm – lỗ hổng đến từ cách người dùng tương tác với nó. Sự đổ lỗi qua lại có nghĩa là không có bên trung tâm nào đứng ra bồi thường cho nạn nhân.
Người dùng nên kiểm tra gì ngay bây giờ
Nếu bạn đã từng phê duyệt SquidRouterModule trên ví Safe, tiền của bạn vẫn có thể gặp rủi ro. Lỗ hổng vẫn đang hoạt động và chưa được vá – kẻ tấn công có thể tấn công lại. Các nhà nghiên cứu bảo mật khuyến nghị thu hồi phê duyệt cho module ngay lập tức và chuyển tài sản sang một ví Safe mới không kích hoạt module. Thiệt hại hiện tại là 3,2 triệu USD, nhưng con số đó có thể tăng nếu người dùng không hành động.
Câu hỏi ai sẽ bù đắp tổn thất – nếu có ai đó – vẫn chưa được trả lời.
