Begini cara penyerang menguras $3.2 juta dari dompet Safe di Ethereum dan Base

Kelemahan yang berkaitan dengan modul dompet Safe pihak ketiga telah menyebabkan kecurian kira-kira $3.2 juta di rangkaian Ethereum dan Base selepas penyerang mengeksploitasi kebenaran pelaksanaan terdelegasi untuk menguras puluhan akaun pintar dalam masa kira-kira dua jam.

Firma keselamatan blockchain Blockaid berkata eksploitasi itu mensasarkan kontrak yang dikenal pasti sebagai SquidRouterModule, menjejaskan sekurang‑kurangnya 86 dompet Gnosis Safe, sebelum aset yang dicuri ditukar menjadi DAI melalui kolam kecairan Uniswap V3 yang dikawal oleh penyerang.

Data yang dikongsi firma itu menunjukkan penyerang kemudian mengkonsolidasikan hasilnya ke dalam sebuah dompet yang memegang kira‑kira 3.07 juta DAI.

Rekod on‑chain yang dipautkan oleh Blockaid mengenal pasti alamat penyerang sebagai 0x9bdc730183821b6bb2b51be30b77c964fa645b91. 

Data Etherscan yang dipetik oleh Lookonchain menunjukkan alamat itu telah dibiayai melalui Tornado Cash dan merekodkan 52 transaksi pada 25 Mei.

Siasatan sama juga mengesan satu contoh transaksi pengosongan yang dilaksanakan pada 06:25 UTC, di mana aset yang dicuri, termasuk USDC, ENA, dan USDT, dialirkan melalui kolam kecairan Uniswap V3 sebelum ditukar.

Bagaimana eksploitasi itu dilaksanakan?

Penemuan awal dari Blockaid mencadangkan eksploitasi bermula dari kelemahan di dalam fungsi executeSameChainActions() modul pihak ketiga dan bukannya dari infrastruktur teras Safe. 

Menurut firma itu, penyerang menyebarkan kontrak eksploit berasaskan Foundry yang menyalahgunakan laluan pelaksanaan DelegateBundler modul untuk menyamar sebagai delegasi yang dibenarkan yang dihubungkan kepada dompet mangsa.

Setelah pemeriksaan pengesahan diabaikan, penyerang boleh mencetuskan pertukaran sewenang‑wenangnya terus dari Safe yang terjejas tanpa memerlukan kelulusan multisig biasa yang diperlukan oleh sistem dompet. 

Blockaid berkata eksploitasi itu membolehkan penyerang menukar aset sah kepada token ciptaan penyerang yang tidak bernilai dikenali sebagai “u,” sebelum kecairan ditarik dan hasilnya ditukar menjadi DAI.

Penyamaran delegasi disyaki dalam eksploit modul

Analisis teknikal lanjut yang dikongsi oleh pengasas SlowMist, Cos, mencadangkan isu itu bukan disebabkan oleh kompromi kunci peribadi. 

Dalam satu hantaran diterjemah di X, Cos berkata dompet mangsa yang diambil sampelnya kebanyakannya dikonfigurasikan sebagai Safe tanda tunggal yang dimiliki oleh pengguna berbeza, manakala kelemahan sebenar nampaknya datang daripada modul dompet yang rentan yang dipasang pada akaun‑akaun tersebut.

Menurut Cos, penyerang dapat memalsukan mesej dan mengelakkan pemeriksaan pengesahan modul, membolehkan operasi penebusan dan pemindahan tanpa kebenaran dari dompet Safe yang disasarkan. 

Penyelidik itu juga merujuk kepada dompet pengkonsolidasian yang sama yang dikenal pasti oleh Blockaid, di mana dana yang dicuri dilaporkan diselesaikan.

Dompet penyerang yang memegang DAI. Sumber: Etherscan.

Eksploitasi itu pada dasarnya bergantung pada cara modul Safe beroperasi di dalam dompet kontrak pintar. 

Berbeza dengan transaksi Safe standard yang memerlukan beberapa kelulusan pemilik, modul boleh melaksanakan tindakan secara langsung apabila pengguna memberi mereka kebenaran dipercayai. 

Kelemahan dalam SquidRouterModule nampaknya berpunca daripada pengesahan identiti yang tidak betul, yang didakwa membenarkan muatan berniat jahat menyamar sebagai delegasi yang diluluskan.

Oleh kerana modul itu sudah mempunyai kebenaran pelaksanaan yang luas di dalam dompet yang disambungkan, permintaan yang dipalsukan itu dilaporkan dianggap sebagai arahan sah oleh kontrak Safe itu sendiri.

Dompet terjejas tidak disambungkan kepada Safe

Ketua Pegawai Eksekutif Safe Labs, Rahul Rumalla, kemudian berkata akaun yang dikompromi "nampaknya tidak dioperasikan pada produk rasmi Safe Wallet," sambil menambah bahawa penyiasat masih tidak tahu di mana dompet itu pada asalnya dicipta dan diuruskan.

Rumalla menyatakan bahawa dompet yang terjejas kemungkinan besar ditempatkan melalui integrasi luaran dan bukannya melalui antara muka rasmi Safe.

Rumalla juga berkata Safe Shield, sistem amaran terbina dalam syarikat yang dikuasakan oleh Blockaid, telah mengenal pasti modul itu sebagai berniat jahat sebelum kejadian.

Menurut beliau, sistem perlindungan itu memberi amaran kepada pengguna apabila modul atau penjaga yang tidak disahkan meminta kebenaran berbahaya.

Squid menafikan penglibatan

Sementara itu, Squid menafikan bahawa infrastruktur routing atau kontrak terasnya telah digodam. 

Dalam satu kenyataan yang diposkan di X, pasukan itu berkata kontrak yang dieksploitasi hanya berkongsi nama SquidRouterModule dan tiada kaitan dengan seni bina router produksi Squid.

Protokol itu menambah bahawa semua pengguna dan integrator Squid kekal tidak terjejas, sambil menerangkan insiden itu sebagai eksploit modul dompet pintar pihak ketiga yang tidak berkaitan dengan kontrak atau perkhidmatan rasmi Squid.

Serangan itu menambah kepada senarai insiden keselamatan DeFi yang semakin berkembang dilaporkan pada 2026. 

Seperti yang dilaporkan oleh Invezz, minggu lalu, Echo Protocol mengalami eksploitasi pada Monad selepas penyerang mencetak kira‑kira $76.7 juta nilai token eBTC tanpa kebenaran melalui apa yang kemudian dikaitkan oleh penyelidik kepada kompromi kunci admin. 

Penyiasat dalam kes itu juga berkata blockchain sendiri tidak digodam, manakala kawalan operasi yang lemah berkaitan kebenaran terdelegasi dan kuasa cetak membenarkan eksploitasi itu berkembang.