Squid协议称320万美元漏洞攻击针对第三方模块，非核心系统_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

Squid协议称320万美元漏洞攻击针对第三方模块，非核心系统

2026-05-25 22:03:25

Squid协议澄清：320万美元漏洞攻击目标为第三方模块，非核心系统

跨链协议Squid近日就一起导致约320万美元数字资产损失的安全事件作出说明。该项目在向社区发布的声明中强调，遭受攻击的合约名为"SquidRouterModule"，其开发、部署与运营均非由Squid团队实施。

攻击途径分析

据Squid披露，涉事合约是构建于Gnosis Safe之上的第三方模块。该协议解释称，此模块在结构上与其自身的路由合约相互独立。攻击者利用了模块公共固定字符串验证功能中的漏洞，借此执行任意调用数据，并从受影响钱包中转移资金。

Squid进一步说明，受影响的Gnosis Safes此前已将该模块登记为可信模块。此类注册状态使得攻击者能够在无需钱包所有者额外签名的情况下发起资产转移，实质上绕过了标准安全检查机制。

影响评估与用户安全

项目方在评估中明确指出：其核心路由合约、用户资金、授权功能及集成服务均未受影响。这一界定对于担忧通过Squid平台直接持有资产安全性的用户至关重要。

该事件凸显出DeFi生态系统中日益增长的复杂性——第三方模块与智能合约集成的使用可能带来不可预见的风险。尽管Squid核心协议保持安全，但此事提醒我们，用户依赖的广义基础设施（如钱包层级模块）可能成为攻击载体。

对DeFi用户的启示

对于Gnosis Safe及其他多签钱包用户而言，此次事件凸显了审计和理解钱包关联每个模块或应用的重要性。将模块设置为可信状态会授予其重大权限，该模块中的任何漏洞都可能造成严重后果。

Squid尚未表示计划启动用户补偿方案，因为协议本身并非漏洞的直接责任方。损失资金均来自自愿集成该第三方模块的钱包。

总结

此次320万美元的安全事件为去中心化金融领域存在的层级化安全风险敲响了警钟。虽然Squid的核心基础设施保持完好，但事件表明DeFi的安全性最终取决于用户个人集成工具链中最薄弱的环节。建议用户定期审查并撤销不再活跃使用的模块或合约权限。

常见问题解答

问：Squid自有合约或用户资金是否受影响？
答：未受影响。Squid已确认其核心路由合约、用户资金及授权功能均未波及。漏洞发生在基于Gnosis Safe的第三方模块中。

问：攻击者如何成功转移资金？
答：攻击者利用模块公共固定字符串验证功能中的漏洞执行任意调用数据。由于该模块在受影响Gnosis Safes中被登记为可信模块，资产转移无需额外签名即可进行。

问：用户此后是否应停止使用Squid或Gnosis Safe？
答：并非必要。Squid协议本身仍保持安全。但用户应审查所有与钱包关联的模块和应用，撤销未使用或未验证模块的权限，并持续关注第三方集成的安全实践。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文