跨链路由协议 Squid 迅速与第三方 Gnosis Safe 模块 SquidRouterModule 划清界限。此前攻击者在 Ethereum 与 Base 两大链上,合计盗取约 320 万美元资金。
区块链安全公司指出,此次攻击仅耗时约 2 小时,就影响了 86 个 Gnosis Safe 账户。
Squid 声明与 320 万美元 SquidRouterModule 被盗事件无关
Blockaid 披露,攻击者利用自己控制的 Uniswap V3 池,将窃取的代币兑换为 $DAI 稳定币。
此外,安全公司 PeckShield 表示,攻击者最初通过 Tornado Cash 收到了 2.1 $ETH 作为启动资金。该公司补充称,攻击者钱包地址 0xA447…54859 目前仍存放有被盗资产。
Squid 项目方第一时间在 X 平台发声,强调自家协议与遭黑客利用的合约 毫无关联。团队指出,“该合约虽然同名,但代码并非出自我们手中”,同时还重申其用户资产完全未受影响。
“初期公开报道提到‘SquidRouter’,只是因为该合约在 Basescan 上的注册名称。实际情况应表述为:这是第三方 SquidRouterModule 被攻击,而非我们 Squid 的 Router 合约。”项目团队表示。
根据 Basescan 数据,被攻击的合约名为“SquidRouterModule”,这也导致了最初的混淆。Squid 团队澄清,他们并未参与该合约的开发及链上部署。所谓模块实为第三方智能钱包产品,支持集成众多协议,其中也包括 Squid。
Squid 的官方路由合约地址为 0xce16F69375520ab01377ce7B88f5BA8C48F8D666,采用截然不同的设计结构。本轮攻击并未波及该合约,用户存量资产、授权以及各类平台集成功能依然安全无忧。
“这次攻击之所以得逞,是因为第三方模块将用户输入的常量字符串作为消息安全性的证明。而该字符串内容在链上已公开,一旦输入即可任意执行一系列 calldata,从而轻松实现盗取资金。受害者之所以受损,是因为将该存在漏洞的合约作为 trusted Safe Module 添加到 Safe 钱包中,从而赋予其不经签名即可支配钱包内所有代币的权限。”Squid 官方进一步解释。
本月,区块链行业已接连发生多起安全事件,这起事件只是其中一个典型案例。据 DefiLlama 数据显示,截至 2026 年 5 月,已有超过 20 起攻击事件影响了去中心化协议。
订阅我们的 YouTube 频道,第一时间观看行业领袖与专业记者带来的深度洞察
