第三方安全模块缺陷引链上资产大规模流失

据区块链安全平台Blockaid披露，一起针对第三方模块的漏洞利用事件已造成以太坊与Base链上钱包资产损失约320万美元，多个项目方将矛头指向未受监管的外部合约集成。

涉事模块非官方协议，名称误导引发误判

此次事件中被攻击的合约名为'SquidRouterModule'，其命名曾引发市场对其与跨链协议Squid关联的猜测。然而Squid团队迅速在X平台澄清，明确指出该模块并非其官方产品，代码逻辑与核心路由合约无任何关联。

报告强调，尽管名称相似，但该模块为独立部署的第三方组件，其权限配置存在严重缺陷。这揭示了一个关键风险：即使集成的是知名钱包生态中的可信模块，若赋予过宽权限，仍可能被恶意利用进行资金转移。

两小时内逾八十账户遭劫持并完成资产变现

Gnosis Safe（现称Safe）作为支持多网络的多签名钱包系统，依赖预设的授权人数机制来保障交易安全。其功能可通过可插拔的智能合约模块扩展，允许经验证的代码代为执行特定操作。

根据Blockaid追踪数据，攻击者在短短两小时内成功入侵至少86个此类账户，所有被盗代币均通过受控的Uniswap V3资金池快速兑换为Dai稳定币，实现高效洗钱。

根本原因锁定与防御机制响应

分析显示，漏洞源于SquidRouterModule中一处权限绕过缺陷，使攻击者得以伪装成合法授权代理，触发未经授权的资金兑换流程。该行为绕过了正常审批链，直接调用链上资产。

Safe Labs首席执行官Rahul Rumalla表示，受影响账户很可能并非通过官方Safe Wallet应用创建或管理，其部署路径尚不清晰，极可能源自非标准渠道的自定义集成方案。

他补充称，Safe Wallet内置的'Safe Shield'防护系统已提前识别该模块为高风险项，并将其列入已知恶意合约清单。该机制旨在主动预警用户，防止接入未经验证的潜在威胁模块。