Mở đầu
Theo các công ty an ninh Blockaid và PeckShield, một module Gnosis Safe của bên thứ ba bị khai thác trên Ethereum và Base đã rút cạn khoảng 3,2 triệu USD từ 86 Safe trong khoảng hai giờ. Hợp đồng dễ tổn thương, được Basescan xác minh với tên “SquidRouterModule”, không được xây dựng, triển khai hoặc vận hành bởi giao thức cross-chain Squid. Đồng sáng lập Squid là Fig đã làm rõ trên X: “Hợp đồng có tên SquidRouterModule không liên quan đến Squid. Hiện chúng tôi chưa biết ai đã viết hoặc triển khai hợp đồng này.” Vụ khai thác thành công do module chấp nhận một chuỗi hằng do người gọi cung cấp làm bằng chứng rằng một thông điệp là an toàn, cho phép kẻ tấn công thực thi calldata tùy ý và chi tiêu các token được giữ trong Safe của nạn nhân mà không cần chữ ký. Sự cố này phản ánh các lỗ hổng bảo mật đang diễn ra trong mảng DeFi, nơi đã ghi nhận hơn 770 triệu USD tổn thất trong năm 2026; riêng tháng 4 đã ghi khoảng 30 sự cố và hơn 630 triệu USD bị rút.
Cơ chế khai thác
Module SquidRouterModule dễ tổn thương chấp nhận một chuỗi hằng do người gọi cung cấp làm bằng chứng mật mã rằng một thông điệp là an toàn. Bằng cách truyền chuỗi này, kẻ tấn công có thể thực thi calldata tùy ý và truy cập mọi token được giữ trong Safe của nạn nhân mà không cần chữ ký hợp lệ.
Theo tuyên bố chính thức của Squid, bộ định tuyến (router) cốt lõi của hợp đồng được tách biệt về mặt kiến trúc và không hề bị tác động bởi vụ khai thác; dự án cũng nhấn mạnh rằng các báo cáo công khai ban đầu có đề cập đến “SquidRouter” là không chính xác về mặt kỹ thuật. Hợp đồng mang tên Squid nhưng là một sản phẩm của bên thứ ba, đã chọn tích hợp với Squid cùng với các giao thức khác và không có liên hệ với đội ngũ.
Phương thức của kẻ tấn công và dấu vết dòng tiền
Theo Blockaid, kẻ tấn công triển khai các hợp đồng khai thác dựa trên Foundry, gọi đến nhánh DelegateBundler của module, mạo danh các delegate được ủy quyền trên từng Safe và kích hoạt các giao dịch hoán đổi tùy ý thông qua các pool Uniswap V3.
Tài sản mục tiêu được hoán đổi thông qua các pool Uniswap V3 do kẻ tấn công gieo vào thành một token “u” do kẻ tấn công tạo ra và gần như vô giá trị. Sau đó, kẻ tấn công rút thanh khoản khỏi các pool và gom toàn bộ số thu về khoảng 3,07 triệu DAI, hiện được lưu giữ trong một ví bắt đầu bằng “0xa447...54859”, theo PeckShield.
PeckShield xác định rằng nguồn vốn ban đầu 2,1 ETH của kẻ khai thác đến từ Tornado Cash.
Phản hồi của Squid
Squid cho biết, dù mang tên Squid, hợp đồng này là sản phẩm của bên thứ ba và không liên quan đến giao thức. Phát biểu của Fig nhấn mạnh việc dự án không liên quan: “Hiện chúng tôi chưa biết ai đã viết hoặc triển khai hợp đồng này.” Trang X chính thức của Squid cũng cho biết bộ định tuyến cốt lõi của họ được tách biệt về mặt kiến trúc và không bị tác động.
Vòng tài trợ gần đây và các tuyên bố về bảo mật
Gần đây, Squid công bố một vòng tài trợ chiến lược 6 triệu USD do North Island Ventures dẫn dắt, có sự tham gia của Ripple, Dialectic và Borderless.
Trong thảo luận về khoản tài trợ, Fig của Squid nói với The Block rằng dự án đã hoàn tất chín đợt kiểm toán bảo mật độc lập tính đến thời điểm hiện tại, không ghi nhận bất kỳ vụ khai thác nào và duy trì uptime 99,99%. Khi được hỏi liệu Squid có đang hướng đến việc phục vụ các dự án đang đánh giá lại hạ tầng cross-chain của họ sau các sự cố bảo mật ở nơi khác trên thị trường hay không, Fig cho biết nền tảng sẵn sàng mở các cuộc trao đổi với các đội ngũ tìm kiếm kết nối an toàn.
Tổn thất của ngành DeFi trong năm 2026
Khả năng tương tác xuyên chuỗi vẫn là một trong những mảng khó khăn nhất trong crypto, khi ngành này đã trải qua nhiều vụ khai thác cầu nối và các sự cố bảo mật trong nhiều năm. Bảng dữ liệu của The Block cho thấy DeFi đã ghi nhận hơn 770 triệu USD tổn thất trong năm 2026; riêng tháng 4 đã lập kỷ lục với khoảng 30 sự cố và hơn 630 triệu USD bị rút cạn.
