Per 2 valandas iš „Gnosis Safe“ modulių pavogta beveik 3 mln. eurų: „Squid“ nuo įvykio atsiriboja

Per išpuolį, nukreiptą į trečiosios šalies „Gnosis Safe“ modulį, per maždaug dvi valandas iš 86 „Safes“ buvo ištuštinta apie 2,9 mln. eurų vertės kriptoturto. Apie incidentą pranešė saugumo bendrovės „Blockaid“ ir „PeckShield“, analizavusios atakos eigą ir lėšų judėjimą.

Pažeidžiamas kontraktas, viešai patvirtintas „Base“ tinklo naršyklėje „Basescan“ kaip „SquidRouterModule“, sukėlė painiavą dėl pavadinimo sutapimo. Kryžminių pervedimų protokolas „Squid“ pabrėžė, kad šio modulio nekūrė, neįdiegė ir nevaldė, o jo pagrindinis maršrutizatorius architektūriškai atskirtas ir nebuvo paliestas.

„Kontraktas, pavadintas SquidRouterModule, nėra susijęs su Squid. Kol kas nežinome, kas jį parašė ar įdiegė“, – sakė pseudonimu prisistatantis „Squid“ bendraįkūrėjas Fig.

Techninė atakos esmė siejama su tuo, kad modulis kaip tariamą saugaus pranešimo įrodymą priimdavo skambintojo perduodamą pastovią teksto eilutę. Toks dizainas sudarė sąlygas užpuolikui vykdyti savavališkus veiksmus ir išleisti aukų „Safe“ laikomus žetonus be įprastų parašų, teigia „Squid“ ir incidentą analizavę tyrėjai.

„Blockaid“ nurodė, kad užpuolikas naudojo „Foundry“ pagrindu sukurtus išnaudojimo kontraktus ir iškvietė modulio „DelegateBundler“ kelią, apsimesdamas autorizuotais delegatais kiekviename „Safe“. Tuomet buvo inicijuoti savavališki keitimai per „Uniswap V3“ likvidumo telkinius, o dalis turto nukreipta per užpuoliko suformuotą schemą.

Pagal „PeckShield“ informaciją, pavogtas turtas buvo keičiamas į užpuoliko sukurtą menkavertį žetoną, o vėliau, išėmus likvidumą, pajamos konsoliduotos į maždaug 2,7 mln. eurų vertės DAI. Analitikai taip pat siejo pirminį užpuoliko finansavimą su „Tornado Cash“, kas dažnai apsunkina lėšų kilmės atsekamumą.

Incidentas dar kartą išryškino rizikas, susijusias su papildiniais ir moduliais, kurie integruojami į plačiai naudojamas kriptoturto saugojimo ar valdymo sistemas. Net jei pagrindinė platforma yra audituota, trečiųjų šalių komponentai gali tapti silpniausia grandimi, ypač kai jų logikoje paliekami supaprastinti patikros mechanizmai.

„Squid“ atkreipė dėmesį, kad ankstyvi vieši pranešimai, kuriuose minėtas „SquidRouter“, buvo techniškai netikslūs. Pasak projekto, modulis tik pasirinko integraciją su „Squid“ tarp kitų protokolų ir nebuvo derintas su komanda, todėl atsakomybė už šio konkretaus kontrakto kūrimą ir eksploatavimą jai nepriskirtina.