Πώς οι επιτιθέμενοι άδειασαν $3.2M από πορτοφόλια Safe σε Ethereum και Base

με την υποστήριξη του

Αγορά νικητών ασφάλειας DeFi

Αγοράστε ονόματα υποδομών ασφάλειας DeFi που συνδέονται με monitoring/guardrails (π.χ. πάροχοι προστασίας onchain τύπου Blockaid μέσω δημόσιων proxies όπως πλατφόρμες κυβερνοασφάλειας/crypto-risk; αν χρειαστεί να χρησιμοποιήσετε ρευστά proxies, προτιμήστε εταιρείες με έκθεση σε εργαλεία ασφάλειας onchain). Δευτερεύον αποτέλεσμα: μετά το περιστατικό αυτό, οι χρήστες πορτοφολιών και οι ενσωματωτές θα πληρώσουν περισσότερο για επαλήθευση module/guard, ειδοποιήσεις και αυτοματοποιημένους ελέγχους κινδύνου αδειών — επιταχύνοντας την υιοθέτηση στρωμάτων ασφάλειας και αυξάνοντας την προθυμία πληρωμής για προϊόντα τύπου “Safe Shield”. Key risk: η υιοθέτηση σταματά επειδή τα περιστατικά θεωρούνται μεμονωμένα και οι χρήστες επιστρέφουν σε "set-and-forget" modules παρά τις προειδοποιήσεις.

Βασικός κίνδυνος: Οι χρήστες πορτοφολιών και οι ενσωματωτές δεν αυξάνουν τις δαπάνες για επαλήθευση module/guardrails μετά από επαναλαμβανόμενα περιστατικά.

Μείωση έκθεσης σε Safe modules

Πωλήστε έκθεση σε tokens του οικοσυστήματος Gnosis Safe (π.χ. SAFE) και αποφύγετε νέες επενδύσεις σε module/integration play του Safe. Τα νέα δείχνουν ότι ένα τρίτο-μέρος module (SquidRouterModule) μπορεί να παρακάμψει τον έλεγχο αντιπροσώπων και να ενεργοποιήσει αυθαίρετες ανταλλαγές από Safes χωρίς τις κανονικές εγκεκριμένες πολλαπλές υπογραφές — επομένως τα «permissioned» smart wallets παραμένουν ευάλωτα στο να αδειάσουν ολοκληρωτικά λόγω αποτυχίας ενός μόνο module. Key risk: ένα γρήγορο, αξιόπιστο patch/πρότυπο επαλήθευσης που αποτρέπει την κακόβουλη προσποίηση αντιπροσώπων και αποκαθιστά την εμπιστοσύνη και τη ζήτηση για Safe modules.

Βασικός κίνδυνος: Μια πραγματική επιδιόρθωση που εμποδίζει τα κακόβουλα modules να προσποιούνται εγκεκριμένους αντιπροσώπους και να εκτελούν αυθαίρετες ανταλλαγές.

Δράστες αφαίρεσαν $3.2M από 86 Safe πορτοφόλια σε Ethereum και Base.
Οι αναλυτές συνέδεσαν το exploit με παραποιημένες κλήσεις αντιπροσώπων και ευάλωτο module του Safe.
Τα κλαπέντα κεφάλαια ανταλλάχθηκαν μέσω πισινών Uniswap V3 σε περίπου 3.07 million DAI.

Μια ευπάθεια συνδεόμενη με ένα τρίτο-μέρος module του Safe οδήγησε στην κλοπή περίπου $3.2M σε Ethereum και Base, αφού οι δράστες εκμεταλλεύτηκαν εξουσιοδοτημένες άδειες εκτέλεσης για να αδειάσουν δεκάδες έξυπνους λογαριασμούς εντός περίπου δύο ωρών.

Η εταιρεία ασφάλειας blockchain Blockaid ανέφερε ότι το exploit στόχευσε ένα συμβόλαιο με την ονομασία SquidRouterModule, επηρεάζοντας τουλάχιστον 86 Gnosis Safe πορτοφόλια, πριν τα κλαπέντα περιουσιακά στοιχεία μετατραπούν σε Dai μέσω πισινών Uniswap V3 ελεγχόμενων από τους δράστες.

🚨 Blockaid detected an ongoing exploit targeting the SquidRouterModule on Ethereum and Base.

86 Gnosis Safes drained for ~$3M in ~2 hours.
All stolen tokens swapped to DAI via attacker-controlled Uniswap V3 pools.
More details in 🧵
— Blockaid (@blockaid_) May 25, 2026

Δεδομένα που κοινοποίησε η εταιρεία έδειξαν ότι ο δράστης στη συνέχεια συγκέντρωσε τα έσοδα σε ένα πορτοφόλι που κρατούσε περίπου 3.07 million DAI.

Τα on-chain αρχεία που συνέδεσε η Blockaid εντόπισαν τη διεύθυνση του εκμεταλλευτή ως 0x9bdc730183821b6bb2b51be30b77c964fa645b91.

Δεδομένα Etherscan που επικαλέστηκε το Lookonchain έδειξαν ότι η διεύθυνση είχε χρηματοδοτηθεί μέσω Tornado Cash και κατέγραψε 52 συναλλαγές στις 25 Μαΐου.

#PeckShieldAlert The SquidRouterModule has been exploited for ~$3M in assets.
The exploiter, who was originally funded with 2.1 $ETH from #TornadoCash, has swapped the stolen funds for ~3M $DAI. The stolen assets are currently sitting in the exploiter's wallet 0xA447...54859 pic.twitter.com/RAmpIZQhQh
— PeckShieldAlert (@PeckShieldAlert) May 25, 2026

Η ίδια έρευνα εντόπισε ως παράδειγμα μια συναλλαγή εκκένωσης που εκτελέστηκε στις 06:25 UTC, όπου τα κλαπέντα περιουσιακά στοιχεία, συμπεριλαμβανομένων USDC, ENA και USDT, δρομολογήθηκαν μέσω των πισινών ρευστότητας Uniswap V3 πριν τη μετατροπή.

Πώς εκτελέστηκε το exploit;

Τα πρώτα ευρήματα της Blockaid υποδείκνυαν ότι το exploit προέκυψε από σφάλμα μέσα στη λειτουργία executeSameChainActions() του τρίτου-μέρος module και όχι από τον πυρήνα της υποδομής του Safe.

Σύμφωνα με την εταιρεία, ο δράστης ανέπτυξε συμβόλαια exploit βασισμένα σε Foundry που κακοποίησαν τη διαδρομή εκτέλεσης DelegateBundler του module για να προσποιηθούν εξουσιοδοτημένους αντιπροσώπους συνδεδεμένους με τα θύματα.

Μόλις παρακαμφθούν οι έλεγχοι επαλήθευσης, ο δράστης μπορούσε να ενεργοποιήσει αυθαίρετες ανταλλαγές απευθείας από τα επηρεαζόμενα Safes χωρίς τις κανονικές πολλαπλές υπογραφές που απαιτεί το σύστημα πορτοφολιού.

Η Blockaid είπε ότι το exploit επέτρεψε στον δράστη να ανταλλάξει νόμιμα περιουσιακά στοιχεία με ένα άχρηστο token που δημιούργησε ο δράστης και αναγνωρίστηκε ως «u», πριν αφαιρεθεί η ρευστότητα και τα έσοδα μετατραπούν σε DAI.

Υποψία προσποίησης αντιπροσώπου στο module exploit

Περαιτέρω τεχνική ανάλυση που κοινοποίησε ο ιδρυτής της SlowMist, Cos, υποδείκνυε ότι το πρόβλημα δεν συνδεόταν με εκτεθειμένα ιδιωτικά κλειδιά.

Σε μια μεταφρασμένη δημοσίευση στο X, ο Cos είπε ότι τα δείγματα των θυμάτων ήταν κυρίως Safes ρυθμισμένα ως single-signature ιδιοκτησίας διαφορετικών χρηστών, ενώ η πραγματική αδυναμία φαινόταν να προέρχεται από ευάλωτα modules πορτοφολιών προσκολλημένα σε αυτούς τους λογαριασμούς.

Σύμφωνα με τον Cos, οι δράστες ήταν σε θέση να παραχάραξουν μηνύματα και να παρακάμψουν τους ελέγχους επαλήθευσης του module, επιτρέποντας μη εξουσιοδοτημένες λειτουργίες εξαργύρωσης και μεταφοράς από τα στοχευμένα Safe πορτοφόλια.

Ο ερευνητής επίσης υπέδειξε το ίδιο πορτοφόλι συγκέντρωσης που ταυτοποίησε η Blockaid, όπου φέρονται να διακανονίστηκαν τα κλαπέντα κεφάλαια.

Πορτοφόλι του δράστη που κρατά DAI. Πηγή: Etherscan.

Το exploit στηρίχθηκε ουσιαστικά στον τρόπο λειτουργίας των modules του Safe μέσα σε smart contract πορτοφόλια.

Σε αντίθεση με τις τυπικές Safe συναλλαγές που απαιτούν πολλαπλές εγκρίσεις ιδιοκτητών, τα modules μπορούν να εκτελέσουν ενέργειες απευθείας μόλις οι χρήστες τους παραχωρήσουν έμπιστες άδειες.

Το σφάλμα μέσα στο SquidRouterModule φαίνεται ότι προέκυπτε από εσφαλμένο έλεγχο ταυτότητας, που φέρεται να επέτρεψε σε κακόβουλα φορτία να εμφανιστούν ως εγκεκριμένοι αντιπρόσωποι.

Επειδή το module ήδη διέθετε ευρείες άδειες εκτέλεσης μέσα στα συνδεδεμένα πορτοφόλια, τα παραποιημένα αιτήματα φέρονται να αντιμετωπίστηκαν ως νόμιμες εντολές από τα ίδια τα Safe συμβόλαια.

Επηρεαζόμενα πορτοφόλια μη συνδεδεμένα με το Safe

Ο CEO της Safe Labs, Rahul Rumalla, δήλωσε αργότερα ότι οι παραβιασμένοι λογαριασμοί «φαίνεται να μην λειτουργούν πάνω στο επίσημο προϊόν Safe Wallet», προσθέτοντας ότι οι ερευνητές δεν γνωρίζουν ακόμη πού δημιουργήθηκαν και διαχειρίστηκαν αρχικά τα πορτοφόλια.

True and unfortunate. But it seems like these were not operated on official safe wallet product(s). Not exactly sure where these accounts were created and operated.

On Safe Wallet, these risks are surfaced via Safe Shield. Unofficial and third-party modules & guards get flagged…
— rahul rumalla (@rsquare) May 25, 2026

Ο Rumalla ανέφερε ότι τα επηρεαζόμενα πορτοφόλια πιθανότατα αναπτύχθηκαν μέσω εξωτερικών ενσωματώσεων παρά μέσω της επίσημης διεπαφής του Safe.

Ο Rumalla πρόσθεσε επίσης ότι το Safe Shield, το ενσωματωμένο σύστημα προειδοποίησης της εταιρείας που τροφοδοτείται από την Blockaid, είχε ήδη εντοπίσει το module ως κακόβουλο πριν το περιστατικό.

Κατά την άποψή του, το σύστημα προστασίας ειδοποιεί τους χρήστες όταν μη επαληθευμένα modules ή guards ζητούν επικίνδυνες άδειες.

Η Squid αρνείται εμπλοκή

Στο μεταξύ, η Squid αρνήθηκε ότι η δική της υποδομή δρομολόγησης ή τα κύρια συμβόλαιά της είχαν υποστεί παραβίαση.

Σε δήλωση που δημοσιεύτηκε στο X, η ομάδα είπε ότι το εκμεταλλευμένο συμβόλαιο απλά μοιραζόταν το όνομα SquidRouterModule και δεν είχε σχέση με την παραγωγική αρχιτεκτονική router της Squid.

Το πρωτόκολλο πρόσθεσε ότι όλοι οι χρήστες και οι ενσωματωτές της Squid παρέμειναν ανεπηρέαστοι, περιγράφοντας το περιστατικό ως εκμετάλλευση ενός τρίτου-μέρους smart-wallet module μη συνδεόμενου με τα επίσημα συμβόλαια ή υπηρεσίες της Squid.

This incident is unrelated to Squid’s core protocol and contracts. All Squid users and integrators are unaffected and no action is needed.

A third-party Gnosis Safe module was exploited today across Base and Ethereum, resulting in approximately $3.2M in losses. The vulnerable… https://t.co/I3gGmdBvE9
— squid (@squidrouter) May 25, 2026

Η επίθεση προστέθηκε σε μια αυξανόμενη λίστα περιστατικών ασφάλειας DeFi που αναφέρθηκαν το 2026.

Όπως αναφέρθηκε προηγουμένως από το Invezz, την περασμένη εβδομάδα το Echo Protocol υπέστη exploit στο Monad αφού οι δράστες δημιούργησαν περίπου $76.7 million αξίας μη εξουσιοδοτημένων eBTC tokens μέσω ενός συμβάντος που ερευνητές συνέδεσαν αργότερα με συμβιβασμό admin key.

Οι ερευνητές στη συγκεκριμένη υπόθεση επίσης δήλωσαν ότι το ίδιο το blockchain δεν παραβιάστηκε, ενώ αδύναμοι λειτουργικοί έλεγχοι γύρω από εξουσιοδοτήσεις εκχώρησης και δικαιώματα κοπής (mint authority) επέτρεψαν στο exploit να κλιμακωθεί.