Iată cum atacatorii au scos 3,2 milioane USD din portofele Safe pe Ethereum și Base

O vulnerabilitate legată de un modul Safe terț a condus la furtul a aproximativ 3,2 milioane USD pe Ethereum și Base, după ce atacatorii au exploatat permisiunile de execuție delegate pentru a goli zeci de conturi inteligente în circa două ore.

Firma de securitate blockchain Blockaid a declarat că atacul a vizat un contract identificat ca SquidRouterModule, afectând cel puțin 86 de portofele Gnosis Safe, înainte ca activele furate să fie convertite în Dai prin pool-uri Uniswap V3 controlate de atacatori.

Datele furnizate de firmă arătau că atacatorul a consolidat ulterior veniturile într-un portofel care deținea aproximativ 3,07 milioane DAI.

Înregistrările on-chain legate de Blockaid au identificat adresa exploatatorului ca 0x9bdc730183821b6bb2b51be30b77c964fa645b91. 

Date Etherscan citate de Lookonchain arătau că adresa a fost finanțată prin Tornado Cash și a înregistrat 52 de tranzacții pe 25 mai.

Aceeași investigație a urmărit un exemplu de tranzacție de golire executată la 06:25 UTC, în care activele furate, inclusiv USDC, ENA și USDT, au fost rutate prin pool-uri de lichiditate Uniswap V3 înainte de conversie.

Cum a fost executată exploatarea?

Primele concluzii ale Blockaid sugerau că exploatarea a avut origine într-un defect din funcția executeSameChainActions() a modulului terț, și nu din infrastructura de bază a Safe. 

Potrivit firmei, atacatorul a implementat contracte de exploatare bazate pe Foundry care abuza calea de execuție DelegateBundler a modulului pentru a se deghiza în delegate autorizate conectate la portofelele victimelor.

Odată ce verificările au fost ocolite, atacatorul a putut declanșa swap-uri arbitrare direct din portofelele Safe afectate fără a avea nevoie de aprobările multisemnătură normale solicitate de sistemul de portofel. 

Blockaid a spus că exploatarea i-a permis atacatorului să schimbe active legitime pentru un token creat de atacator, lipsit de valoare, identificat ca „u”, înainte ca lichiditatea să fie eliminată și veniturile convertite în DAI.

Se suspectează imitarea delegaților în exploatarea modulului

O analiză tehnică ulterioară, împărtășită de Cos, fondatorul SlowMist, a sugerat că problema nu era legată de compromiterea cheilor private. 

Într-o postare tradusă pe X, Cos a spus că portofelele victime eșantionate erau în mare parte configurate ca portofele Safe cu semnătură unică, deținute de utilizatori diferiți, în timp ce slăbiciunea reală părea să provină din modulele de portofel vulnerabile atașate acelor conturi.

Potrivit lui Cos, atacatorii au putut să falsifice mesaje și să ocolească verificările modulelor, permițând operațiuni neautorizate de răscumpărare și transfer din portofelele Safe vizate. 

Cercetătorul a indicat, de asemenea, același portofel de consolidare identificat de Blockaid, unde fondurile furate ar fi fost transferate.

Portofelul atacatorului care deține DAI. Sursa: Etherscan.

Exploatarea a mizat în esență pe modul în care modulele Safe operează în portofele cu contracte inteligente. 

Spre deosebire de tranzacțiile standard Safe care necesită aprobări multiple ale proprietarilor, modulele pot executa acțiuni direct odată ce utilizatorii le acordă permisiuni de încredere. 

Defectul din SquidRouterModule părea să provină dintr-o validare necorespunzătoare a identității, care, susțin analiștii, a permis payload-urilor malițioase să se deghizeze drept delegate aprobate.

Deoarece modulul deținea deja permisiuni largi de execuție în portofelele conectate, cererile falsificate au fost, se pare, tratate ca instrucțiuni legitime chiar de contractele Safe.

Portofelele afectate nelegate de Safe

CEO Safe Labs Rahul Rumalla a declarat ulterior că conturile compromise „nu par a fi operate pe produsul oficial Safe Wallet”, adăugând că anchetatorii nu știu încă unde au fost create și gestionate inițial portofelele.

Rumalla a afirmat că portofelele afectate au fost probabil implementate prin integrații externe, mai degrabă decât prin interfața oficială a Safe.

Rumalla a spus, de asemenea, că Safe Shield, sistemul de avertizare încorporat al companiei alimentat de Blockaid, identificase deja modulul ca malițios înainte de incident.

Potrivit lui, sistemul de protecție alertează utilizatorii când module sau guard-uri neverificate solicită permisiuni periculoase.

Squid neagă implicarea

Între timp, Squid a negat că infrastructura sa de rutare sau contractele sale principale ar fi fost compromise. 

Într-o declarație postată pe X, echipa a spus că contractul exploatat pur și simplu împărtășea numele SquidRouterModule și nu avea nicio legătură cu arhitectura router-ului de producție a Squid.

Protocolul a adăugat că toți utilizatorii și integratorii Squid au rămas neafectați, descriind incidentul ca o exploatare a unui modul de portofel smart terț, fără legătură cu contractele sau serviciile oficiale ale Squid.

Atacul s-a adăugat unei liste în creștere de incidente de securitate DeFi raportate în 2026. 

După cum a raportat anterior Invezz, săptămâna trecută, Echo Protocol a suferit o exploatare pe Monad după ce atacatorii au creat aproximativ 76,7 milioane USD în tokenuri eBTC neautorizate, prin ceea ce cercetătorii au legat ulterior de compromiterea unei chei de admin. 

Anchetatorii au mai spus că, în acel caz, blockchain-ul în sine nu a fost compromis, în timp ce controalele operaționale slabe privind permisiunile delegate și autoritatea de mint au permis escaladarea exploatării.