Το Squid σπεύδει να διαχωρίσει την επωνυμία του από την εκμετάλλευση του module Gnosis Safe αξίας 3 εκατομμυρίων δολαρίων

Το Squid έσπευσε να τονίσει ότι μια πρόσφατη εκμετάλλευση ύψους 3 εκατομμυρίων δολαρίων στόχευσε ένα τρίτο μέρος μονάδας Gnosis Safe που ονομάζεται SquidRouterModule, και όχι τα βασικά συμβόλαια δρομολόγησης cross-chain, αφού 86 πορτοφόλια στο Ethereum και το Base αδειάστηκαν σε λιγότερο από δύο ώρες.

Σύμφωνα με την εταιρεία ασφάλειας on-chain Blockaid, η επίθεση επικεντρώθηκε σε μια μονάδα Gnosis Safe με την ονομασία SquidRouterModule που αναπτύχθηκε στο Ethereum και το Base, η οποία χρησιμοποιήθηκε από ορισμένους κατόχους multisig για τη δρομολόγηση cross-chain συναλλαγών που αφορούσαν το Squid και άλλα πρωτόκολλα.

Το Blockaid ανέφερε ότι σε διάστημα περίπου δύο ωρών ο επιτιθέμενος άδειασε κεφάλαια από 86 πορτοφόλια Gnosis Safe, με συνολικές απώλειες περίπου 3 έως 3,2 εκατομμυρίων δολαρίων, πριν συγκεντρώσει τα έσοδα σε μία μόνο διεύθυνση που κατείχε λίγο πάνω από 3,07 εκατομμύρια DAI.

Σε μια λεπτομερή ανακοίνωση, το τμήμα ειδήσεων του KuCoin επικαλείται το Blockaid και το Squid, λέγοντας ότι τα κλεμμένα tokens ανταλλάχθηκαν σε DAI μέσω ενός προσαρμοσμένου pool Uniswap V3 που δημιούργησε ο επιτιθέμενος, ο οποίος στη συνέχεια συγκέντρωσε τα αδειασμένα κεφάλαια σε ένα πορτοφόλι για να απλοποιήσει το ξέπλυμα χρήματος.

Το κεντρικό σφάλμα βρισκόταν μέσα στη λογική "message security" του SquidRouterModule: η κάλυψη του Binance Square εξηγεί ότι η μονάδα απλώς αποδεχόταν μια σταθερή συμβολοσειρά που παρείχε ο καλών ως απόδειξη ότι ένα μήνυμα ήταν έγκυρο, πράγμα που σήμαινε ότι οποιοσδήποτε μπορούσε να δει τον κώδικα του συμβολαίου θα μπορούσε να αντιγράψει τη συμβολοσειρά και να περάσει αυθαίρετα δεδομένα κλήσης.

Το CoinNess αναφέρει ότι ο επιτιθέμενος εκμεταλλεύτηκε αυτή τη δημόσια επαλήθευση σταθερής συμβολοσειράς για να εκτελέσει αυθαίρετες κλήσεις από τα επηρεασμένα Safes, χορηγώντας ουσιαστικά στον εαυτό του άδεια να μετακινεί κεφάλαια από τα multisigs χωρίς επιβεβαίωση από τον ιδιοκτήτη.

Πώς αδείασε η εκμετάλλευση του SquidRouterModule 86 Gnosis Safes;

Η σημείωση περιστατικού της Binance το περιγράφει με ευθύτητα, λέγοντας ότι ο σχεδιασμός «αποδεχόταν μια σταθερή συμβολοσειρά που παρείχε ο καλών για την ασφάλεια μηνυμάτων», ένα μοτίβο που εξάλειφε κάθε πραγματικό έλεγχο ταυτότητας και άνοιγε μια άμεση οδό για άδειασμα κεφαλαίων από ενσωματωμένα πορτοφόλια.

Αυτή είναι μια γνωστή κατηγορία κινδύνου για τις μονάδες Gnosis Safe, καθώς προηγούμενη έρευνα της OpenZeppelin έδειξε ότι οποιαδήποτε συνδεδεμένη μονάδα μπορεί να εκτελεί συναλλαγές από ένα πορτοφόλι χωρίς έγκριση του ιδιοκτήτη εάν οι εσωτερικοί έλεγχοί της είναι αδύναμοι ή λανθασμένα ρυθμισμένοι.

Σε αυτή την περίπτωση, η μη ασφαλής μονάδα έφερε το εμπορικό σήμα του Squid αλλά αναπτύχθηκε και αναπτύχθηκε από έναν τρίτο integrator, και όχι από την ομάδα του Squid ή τους βασικούς συντηρητές του πρωτοκόλλου.

Γιατί το Squid αποστασιοποιεί τον βασικό δρομολογητή του από την επίθεση;

Σε επίσημη ανάρτηση στο X, το Squid δήλωσε ότι «αυτό το περιστατικό δεν σχετίζεται με το βασικό πρωτόκολλο και τα συμβόλαια του Squid», και τόνισε ότι το κύριο συμβόλαιο δρομολόγησής του, που αναγνωρίζεται on-chain ως 0xce16F69375520ab01377ce7B88f5BA8C48F8D666, «δεν εμπλέκεται σε καμία από τις κακόβουλες συναλλαγές».

Η ανάλυση του KuCoin σημειώνει ότι το Squid διευκρίνισε ότι το SquidRouterModule «δεν αναπτύχθηκε, δεν αναπτύχθηκε, ούτε λειτουργήθηκε από αυτούς· το όνομα επιλέχθηκε ανεξάρτητα από τρίτο μέρος κατά την ενσωμάτωση με το Squid», και ότι βρίσκεται εντελώς εκτός της αρχιτεκτονικής του βασικού δρομολογητή.

Η ομάδα τόνισε περαιτέρω ότι τα κεφάλαια των χρηστών, οι υπάρχουσες εγκρίσεις και οι ενσωματώσεις σε επίπεδο πρωτοκόλλου παραμένουν ασφαλείς, και ότι «η βασική cross-chain δρομολόγηση του Squid παραμένει ανεπηρέαστη», ενώ συνεχίζει να παρακολουθεί την κατάσταση και να συντονίζεται με εταιρείες ασφαλείας.

Παρ' όλα αυτά, η εικόνα είναι άσχημη: όπως επισημαίνει το κείμενο του KuCoin, τα πρωτοσέλιδα αναπόφευκτα συνδέουν το «Squid» με το «hack», παρόλο που η ακτίνα επίδρασης περιορίζεται σε μια αδιόρθωτη μονάδα Safe της οποίας η μόνη πραγματική σύνδεση με το έργο είναι η επωνυμία και η χρήση του Squid ως έναν από τους διάφορους ενσωματωμένους δρομολογητές.

Οι ερευνητές ασφαλείας έχουν προειδοποιήσει εδώ και καιρό ότι η ισχύς του Gnosis Safe συνοδεύεται από μια επιφύλαξη: οποιαδήποτε μονάδα συνδεδεμένη σε ένα Safe μπορεί να εκτελεί συναλλαγές χωρίς επιβεβαιώσεις από τον ιδιοκτήτη εάν η λογική της είναι ελαττωματική, κάτι που ακριβώς συνέβη εδώ μόλις παρακάμφθηκε ο έλεγχος σταθερής συμβολοσειράς.

Για το ευρύτερο οικοσύστημα cross-chain και επεκτάσεων πορτοφολιού, το περιστατικό του SquidRouterModule είναι ένα ακόμη συγκεκριμένο παράδειγμα για το πώς η συνθεσιμότητα σε συνδυασμό με αδύναμες παραδοχές ασφάλειας σε περιφερειακές μονάδες μπορεί να ανοίξει επιφάνειες επίθεσης εντελώς εκτός των ίδιων συμβολαίων και ελέγχων ενός πρωτοκόλλου.

Υπογραμμίζει επίσης μια οδυνηρή πραγματικότητα για ομάδες υποδομής όπως το Squid, το οποίο η Axelar περιγράφει ως «ένα πρωτόκολλο που επιτρέπει τη δρομολόγηση ρευστότητας cross-chain και ανταλλαγές μέσω ενός ενιαίου SDK»: ακόμα και όταν τα δικά σας συμβόλαια είναι αξιόπιστα, τρίτα wrappers μπορούν ακόμα να σύρουν την επωνυμία σας σε πρωτοσέλιδα εκμετάλλευσης εάν αποτύχουν στη βασική υγιεινή ασφάλειας.