Użytkownicy Gnosis Safe tracą 3,2 mln dolarów w wyniku exploita na Base i Ethereum

Ostrzeżenia bezpieczeństwa wydane 25 maja 2026 roku wskazują, że w ciągu zaledwie dwóch godzin z 86 portfeli Gnosis Safe wyciągnięto około 3,2 miliona dolarów. Atak odbył się za pośrednictwem sieci blockchain Base i Ethereum. Exploitowana luka dotyczyła inteligentnego kontraktu o nazwie „SquidRouterModule". Wywołało to natychmiastowe zamieszanie w społeczności kryptowalutowej ze względu na podobną nazwę do oficjalnej sieci Squid Router.

Według doniesień, skradzione środki zostały natychmiast przekonwertowane na około 3 miliony dolarów w tokenach DAI za pośrednictwem pul Uniswap V3 kontrolowanych przez atakującego. Haker użył adresu portfela 0xA447…54859, na który wcześniej wysłano 2,1 ETH za pośrednictwem TornadoCash.

86 portfeli Gnosis Safe celem nowego ataku hakerskiego

Firmy bezpieczeństwa, takie jak PeckShield i Blockaid, jako pierwsze wykryły ten exploit. W raporcie PeckShield przedstawiono szczegóły dotyczące exploitu SquidRouterModule wraz z rzeczywistym przepływem środków. Obejmowało to nie tylko wykorzystanie TornadoCash, ale także wymianę wszystkich tokenów na DAI.

W swoim raporcie Blockaid wspomniał, że 86 portfeli Gnosis Safe zostało zaatakowanych w ciągu mniej niż dwóch godzin, a wszystkie tokeny wymieniono przy użyciu pul płynności kontrolowanych przez atakującego. Wcześniej użytkownicy autoryzowali te kontrakty w swoich portfelach Gnosis Safe z podwyższonymi uprawnieniami, bez konieczności podpisu użytkownika.

Główna przyczyna tkwi w konstrukcji samego modułu Gnosis Safe strony trzeciej. Kontrakt, poddany audytowi przez Basescan i nazwany SquidRouterModule, akceptował niezmienialny ciąg znaków dostarczony przez wywołującego jako dowód bezpieczeństwa wiadomości.

Ponieważ ciąg ten był wyraźnie widoczny w publicznie dostępnym kodzie źródłowym, możliwe stało się obejście wszystkich zabezpieczeń. Po podaniu ciągu znaków moduł umożliwiał wykonanie calldata dostarczonego w tablicy.

Fakt, że moduł został już wcześniej umieszczony na białej liście jako legalny moduł Safe przez ofiary, umożliwił atakującemu wypłacanie środków z portfeli Gnosis Safe niezależnie od rodzaju tokena. Legalny kontrakt Squid Router (0xce16F69375520ab01377ce7B88f5BA8C48F8D666) wykorzystuje zupełnie inną architekturę i nie został dotknięty tym atakiem.

Squid Router odcina się od incydentu hakerskiego

Oficjalne konto X Squid Router nie zwlekało z prostowaniem faktów. W swoim oświadczeniu firma wyraźnie zaznaczyła, że exploitowany kontrakt nie został zbudowany, wdrożony ani zarządzany przez Squid. Został zidentyfikowany jako inteligentny portfel przez inną stronę trzecią, która postanowiła zintegrować się z Squid i innymi projektami, ale nigdy nie kontaktowała się z zespołem Squid.

Zespół wyjaśnił, że ten incydent nie ma nic wspólnego z podstawowym protokołem Squid ani jego kontraktami. Ponadto nie wszyscy użytkownicy i integratorzy Squid są dotknięci. Squid podkreślił również, że pierwotne informacje publiczne mogły błędnie odnosić się do SquidRouter wyłącznie na podstawie nazwy exploitowanego kontraktu dostępnego w Basescan.

CZ z Binance wzywa deweloperów do naprawienia problemów z hakowaniem

Jako wyraźny dowód na to, jak coraz bardziej podatna na zagrożenia staje się przestrzeń kryptowalut w swoim łańcuchu dostaw, założyciel Binance, Changpeng Zhao (znany również jako CZ), wezwał deweloperów do zmiany kluczy API po naruszeniu danych na GitHubie.

Jak donosi Cryptopolitan, CZ zaapelował, że jeśli użytkownicy mają klucze API w swoim kodzie, nawet w prywatnych repozytoriach, to teraz jest czas, aby dokładnie je sprawdzić i zmienić. Wynika to z ryzyka ujawnienia kluczy API w przypadku naruszenia, ponieważ mogą być one wykorzystywane przez boty handlowe, protokoły DeFi, platformy analityczne i inne powiązane usługi.

Nie tylko czytaj wiadomości o kryptowalutach. Zrozum je. Zapisz się do naszego newslettera. To bezpłatne.