TechFlow đưa tin, ngày 25 tháng 5, theo thông báo chính thức từ Squid (@squidrouter) và dữ liệu giám sát của nền tảng bảo mật chuỗi khối Blockaid (@blockaid_), một mô-đun Gnosis Safe do bên thứ ba phát triển có tên “SquidRouterModule” vừa bị khai thác lỗ hổng trên hai mạng lưới Base và Ethereum. Khoảng 86 ví Gnosis Safe đã bị đánh cắp, với tổng thiệt hại ước tính khoảng 3,2 triệu USD; các token bị đánh cắp sau đó được chuyển đổi thành DAI thông qua các pool Uniswap V3 do kẻ tấn công kiểm soát.
Squid khẳng định rõ ràng rằng mô-đun này không do Squid phát triển, triển khai hay vận hành; đây chỉ là tên do nhà phát triển bên thứ ba tự chọn khi tích hợp dịch vụ của Squid, và hoàn toàn không liên quan đến hợp đồng định tuyến cốt lõi của Squid (địa chỉ: 0xce16F69375520ab01377ce7B88f5BA8C48F8D666). Nguyên nhân gốc rễ của lỗ hổng nằm ở việc mô-đun bên thứ ba này chấp nhận một chuỗi ký tự hằng do người gọi cung cấp làm bằng chứng xác thực an ninh, tạo điều kiện để kẻ tấn công lợi dụng lỗ hổng này thực thi dữ liệu gọi tùy ý, từ đó đánh cắp tài sản trong ví Safe của nạn nhân. Toàn bộ tài sản, quyền ủy quyền và tích hợp của người dùng Squid đều đang trong trạng thái an toàn; Squid sẽ tiếp tục theo dõi sát diễn biến sự việc.
