Saldırganlar Ethereum ve Base'deki Safe cüzdanlarından $3.2 million nasıl çekti

Üçüncü taraf bir Safe cüzdan modülüne bağlı bir güvenlik açığı, saldırganların delege yürütme izinlerini suistimal ederek yaklaşık iki saat içinde onlarca akıllı hesabı boşaltmasının ardından Ethereum ve Base genelinde yaklaşık $3.2 million tutarında çalınmaya yol açtı.

Blok zinciri güvenlik firması Blockaid, istismarın SquidRouterModule olarak tanımlanan bir sözleşmeyi hedef aldığını, en az 86 Gnosis Safe cüzdanını etkilediğini ve çalınan varlıkların saldırgan kontrolündeki Uniswap V3 havuzları aracılığıyla Dai’ye dönüştürüldüğünü söyledi.

Firma tarafından paylaşılan verilere göre saldırgan daha sonra geliri yaklaşık 3.07 million DAI tutan bir cüzdanda konsolide etti.

Blockaid tarafından bağlantı verilen zincir üzeri kayıtlar, istismarcı adresi olarak 0x9bdc730183821b6bb2b51be30b77c964fa645b91 adresini gösterdi. 

Lookonchain tarafından aktarılan Etherscan verileri, adresin Tornado Cash aracılığıyla finanse edildiğini ve May 25 tarihinde 52 işlem kaydettiğini gösterdi.

Aynı soruşturmada 06:25 UTC’de gerçekleştirilen bir örnek boşaltma işleminde çalınan varlıkların, USDC, ENA ve USDT dahil olmak üzere Uniswap V3 likidite havuzları üzerinden yönlendirilip sonra dönüştürüldüğü izlendi.

İstismar nasıl gerçekleştirildi?

Blockaid’in ilk bulguları, istismarın Safe’in çekirdek altyapısından ziyade üçüncü taraf modüldeki executeSameChainActions() fonksiyonundaki bir hatadan kaynaklandığını gösterdi. 

Firmaya göre saldırgan, modülün DelegateBundler yürütme yolunu kötüye kullanan Foundry tabanlı istismar sözleşmeleri konuşlandırdı ve mağdur cüzdanlarla bağlantılı yetkili delege kimliğine büründü.

Doğrulama kontrolleri atlatıldıktan sonra saldırgan, normalde cüzdan sistemi tarafından gereken çoklu imza onaylarına ihtiyaç duymadan etkilenen Safes’lerden doğrudan rastgele swap’lar tetikleyebildi. 

Blockaid, istismarın saldırganın “u” olarak tanımlanan değersiz bir token ile meşru varlıkları takas etmesine izin verdiğini, ardından likiditenin çekilip gelirin DAI’ye dönüştürüldüğünü belirtti.

Modül istismarında delege taklitçiliği şüphesi

SlowMist kurucusu Cos tarafından paylaşılan daha derin teknik analizler, sorunun ele geçirilmiş özel anahtarlarla bağlantılı olmadığını öne sürdü. 

X üzerinde çevrilen bir gönderide Cos, örneklenen mağdur cüzdanların çoğunun farklı kullanıcıların sahip olduğu tek imzalı Safe cüzdanları olarak yapılandırıldığını, gerçek zayıflığın ise bu hesaplara eklenen savunmasız cüzdan modüllerinden kaynaklandığını söyledi.

Cos’a göre saldırganlar mesajlar düzenleyip modül doğrulama kontrollerini atlatabildi ve hedef Safe cüzdanlarından yetkisiz geri çekim ve transfer işlemleri gerçekleştirebildi. 

Araştırmacı ayrıca çalınan fonların yerleştirildiği bildirilen aynı konsolidasyon cüzdanına da işaret etti; bu cüzdan Blockaid tarafından tespit edilmişti.

Saldırganın DAI tutan cüzdanı. Kaynak: Etherscan.

İstismar temelde Safe modüllerinin akıllı sözleşme cüzdanları içindeki işleyişine dayanıyordu. 

Çoklu sahip onayları gerektiren standart Safe işlemlerinin aksine, modüller kullanıcılara güvenilen izinler verildiğinde doğrudan eylemler gerçekleştirebiliyor. 

SquidRouterModule içindeki kusurun, onaylı delegeler gibi davranan kötü amaçlı yüklerin taklit edilmesine izin veren hatalı kimlik doğrulamadan kaynaklandığı anlaşılıyor.

Modül zaten bağlı cüzdanlar içinde geniş yürütme izinlerine sahip olduğu için, sahte talepler Safe sözleşmeleri tarafından meşru talimatlar olarak kabul edildi.

Etkilenen cüzdanlar Safe ile bağlantılı değil

Safe Labs CEO’su Rahul Rumalla daha sonra, ele geçirilmiş hesapların “resmi Safe Wallet ürünü üzerinde işletiliyor gibi görünmediğini” söyleyerek araştırmacıların cüzdanların ilk olarak nerede oluşturulup yönetildiğini hâlâ bilmediklerini ekledi.

Rumalla, etkilenen cüzdanların muhtemelen Safe’in resmi arayüzü aracılığıyla değil, harici entegrasyonlar yoluyla dağıtıldığını belirtti.

Rumalla ayrıca şirketin Blockaid tarafından desteklenen yerleşik uyarı sistemi Safe Shield’in olayı öncesinde modülü kötü amaçlı olarak tanımladığını söyledi.

Ona göre koruma sistemi, doğrulanmamış modüller veya gardiyenler tehlikeli izinler talep ettiğinde kullanıcıları uyarıyor.

Squid karışıklığı reddediyor

Bu arada Squid, kendi yönlendirme altyapısının veya çekirdek sözleşmelerinin ihlal edilmediğini reddetti. 

X üzerinde yapılan bir açıklamada ekip, istismar edilen sözleşmenin yalnızca SquidRouterModule adını paylaştığını ve Squid’in üretim yönlendirici mimarisiyle hiçbir bağlantısı olmadığını söyledi.

Protokol, tüm Squid kullanıcıları ve entegratörlerinin etkilenmediğini ekleyerek olayı Squid’in resmi sözleşmeleri veya hizmetleriyle ilişkili olmayan üçüncü taraf bir akıllı cüzdan modülü istismarı olarak nitelendirdi.

Saldırı, 2026 yılında bildirilen artan sayıda DeFi güvenlik olayına bir yenisini ekledi. 

Daha önce Invezz tarafından bildirildiği üzere, geçen hafta Echo Protocol, saldırganların yaklaşık $76.7 million değerinde yetkisiz eBTC tokeni mintlediği bir Monad istismarına uğramıştı; araştırmacılar bunun daha sonra bir admin anahtarının ele geçirilmesiyle bağlantılı olduğunu bildirdi. 

O davadaki araştırmacılar ayrıca blok zincirinin kendisinin ihlal edilmediğini, ancak delege edilen izinler ve mint yetkisi etrafındaki zayıf operasyonel kontrollerin istismarın tırmanmasına izin verdiğini söylediler.