Разработчики кроссчейн-моста Squid опровергли причастность к контракту SquidRouterModule, который подвергся взлому на сумму ~$3 млн. Сообщение об инциденте безопасности опубликовали эксперты Blockaid.
🚨 Blockaid detected an ongoing exploit targeting the SquidRouterModule on Ethereum and Base.
86 Gnosis Safes drained for ~$3M in ~2 hours.
All stolen tokens swapped to DAI via attacker-controlled Uniswap V3 pools.
More details in 🧵
По их информации, атака затронула 86 кошельков в сетях Ethereum и Base. Также о ней сообщили в PeckShieldAlert. По их данным, злоумышленник профинансировал адрес через Tornado Cash на 2,1 ETH, а похищенные средства обменял на 3 млн DAI.
В Squid сообщили, что хакеры взломали сторонний модуль Gnosis Safe. Уязвимый контракт зарегистрирован на Basescan как SquidRouterModule, однако он не связан с основным проектом. Это сторонний продукт в виде смарт-кошелька, который решил интегрироваться с Squid.
This incident is unrelated to Squid’s core protocol and contracts. All Squid users and integrators are unaffected and no action is needed.
A third-party Gnosis Safe module was exploited today across Base and Ethereum, resulting in approximately $3.2M in losses. The vulnerable… https://t.co/I3gGmdBvE9
«Атака сработала, поскольку сторонний модуль принимал предоставленную фиксированную строку в качестве подтверждения безопасности сообщения. Если передать ее, то можно выполнить массив произвольных данных вызова и похитить средства», — говорится в сообщении разработчиков.
Пользователи Safes добавили уязвимый контракт в качестве доверенного модуля, что дало ему право тратить любые токены без подписи. Собственный маршрутизатор Squid (0xce16F69375520ab01377ce7B88f5BA8C48F8D666) имеет другую архитектуру и не был затронут.
«Этот контракт носит наше название, но не является нашим кодом», — подытожили в Squid.
Инвестиции
За несколько дней до инцидента в Squid сообщили о привлечении $6 млн. Проект представляет собой кроссчейн-инфраструктурную платформу, которая изначально развивалась в рамках экосистемы Axelar.
We are proud to announce that Squid has raised $6M in funding round led by North Island Ventures and backed by strategic investors!
Our new chapter has begun, with more news coming soon. Today we celebrate and say thank you. CHEERS 💫 pic.twitter.com/4xzUCt8eEa
North Island Ventures возглавила раунд финансирования, в котором приняли участие Ripple, Dialectic и Borderless.
Суммарно проект привлек $13,5 млн — еще $3,5 млн в 2023 году и $4 млн в 2024.
С момента запуска в 2023 году через платформу прошло более 4 млн транзакций на общую сумму свыше $6 млрд. Она обслужила 1 млн пользователей через собственное приложение и интеграции с партнерами.
Squid получает доход за счет корпоративных услуг и планирует ввести комиссию за транзакции. Существующие инструменты позволяют перемещать активы между разными блокчейнами вроде Bitcoin, Ethereum, Solana, Cosmos и XRP Ledger.
Разработчики последнего являются официальным партнером Squid по созданию мостов, они управляют валидатором в сети и участвуют в управлении проектом.
Напомним, в апреле неизвестный воспользовался уязвимостью в смарт-контракте кроссчейн-моста Hyperbridge, получил права администратора и выпустил 1 млрд DOT.