第三方模块漏洞致大规模资产外流，320万美元遭快速窃取

2026年5月25日，一场针对Gnosis Safes的协同攻击在短短两小时内造成严重后果，共计86个数字钱包被入侵，总金额损失接近320万美元。攻击者借助Base与以太坊链上漏洞，精准定位并利用一个名称与官方Squid Router高度相似的智能合约——SquidRouterModule，成功诱导用户信任并触发权限滥用。

资金迅速混币转换，追踪路径复杂化

被盗资产在短时间内经由攻击者控制的Uniswap V3流动性池完成兑换，最终转化为约300万枚DAI稳定币。监控机构PeckShield与Blockaid确认，攻击者使用的钱包地址0xA447…54859曾接收2.1枚ETH，并通过TornadoCash进行多层混币操作，极大增加了资金溯源难度。

权限配置不当暴露系统性风险

Blockaid深入分析发现，此次攻击的核心在于第三方集成模块的设计缺陷。被攻陷的SquidRouterModule合约在Basescan上可查，其逻辑存在致命疏漏：系统将调用方提供的固定字符串直接作为身份认证依据，且该字符串在公开代码中完全可见。

由于该模块已被多个Gnosis Safes列入白名单，且无需额外签名即可执行任意操作指令，攻击者仅需构造匹配字符串即可绕过所有安全校验，从而自由提取任意代币。值得注意的是，官方Squid Router采用截然不同的架构，未受本次事件波及。

项目方紧急划清界限，强调非关联责任

Squid Router官方迅速发布声明，明确指出此次被利用的合约并非由其团队开发、部署或维护，而是由第三方独立集成构建，且从未与核心项目建立联系。该声明强调，事件纯属外部误标引发的信任错配，其协议本身具备完整安全性，不影响其他集成方。

面对日益严峻的DeFi生态供应链风险，币安创始人赵长鹏提出警示：即使私有代码库中的API密钥也可能因泄露而被自动化工具捕获，进而被交易机器人或数据分析平台滥用。他建议所有开发者立即审查并更新密钥，防范潜在的链上攻击链条。”