loading...
据Cointelegraph报道,跨链协议Squid与Safe Labs确认,此次安全事件源于一个名为TransferExecutor的第三方模块中的授权漏洞。攻击者利用该漏洞绕过了正常的权限检查,从Squid协议中提取了约320万美元的加密资产。The Block进一步指出,Squid团队在事后分析中表示,该模块并非由他们部署,团队对部署者身份也毫不知情。
Squid协议本身是一个跨链桥,允许用户在不同区块链之间交换资产。此次漏洞并未影响Squid核心协议或路由器合约,仅与第三方集成的模块有关。据Safe Labs调查,该模块似乎被部署在以太坊主网上,但缺乏官方签名和审计记录,怀疑是恶意第三方利用名称误导用户。
据The Block报道,Squid团队在社交平台上紧急澄清:“我们不知道是谁部署了这个模块。”他们强调,Squid官方从未授权或使用过该TransferExecutor模块,本次事件仅限于该模块的单点问题,所有通过官方路由器执行的交易均未受影响。Safe Labs也发布声明,称该模块并非其官方创建或审计的组件,建议用户避免与未经验证的合约交互。
Cointelegraph的报道中补充,Squid已联系安全专家和交易所对被盗地址进行监控,同时提醒用户撤销对可疑模块的授权。本次事件再次凸显了DeFi生态中第三方集成组件可能带来的风险,即使是知名协议也可能因外部模块的漏洞而遭受资金损失。
据The Block报道,在事件发生后数小时内,攻击者向Squid团队指定的地址返还了约270万美元的资金。剩余约50万美元尚未归还,推测可能是作为攻击者的“报酬”或已被转移。Squid团队证实了这笔返还,并表示将继续与执法机构和安全公司合作追讨剩余部分。
此次安全事件中,由于模块来源不明且未被官方审计,给用户和协议都造成了困扰。Squid和Safe Labs均呼吁行业加强对第三方模块的审核和权限管理。截至目前,Squid核心协议已恢复正常运行,用户资产安全性未受进一步威胁。
综合报道自Cointelegraph、The Block
6
22
71
954
795
943
542
750
766
804
