Một cuộc tấn công khai thác vào mô-đun Gnosis Safe mang tên SquidRouterModule đã rút sạch khoảng 3 triệu USD từ 86 ví đa chữ ký trên mạng Ethereum và Base trong vòng chưa đầy hai giờ đồng hồ.

Squid ngay lập tức phải lên tiếng “chữa cháy”, khẳng định mô-đun SquidRouterModule là sản phẩm của bên thứ ba, không phải do họ phát triển, triển khai hay vận hành. Giao thức định tuyến xuyên chuỗi cốt lõi của Squid hoàn toàn không bị ảnh hưởng . Kẻ tấn công đã nạp tiền vào ví tấn công thông qua Tornado Cash, và số DAI bị đánh cắp hiện vẫn nằm yên trong ví của kẻ tấn công mà chưa có dấu hiệu bị phong tỏa hay thu hồi .

Kỹ thuật “vượt rào” bảo mật của ví Gnosis Safe

Cuộc tấn công tập trung vào một lỗ hổng trong hàm executeSameChainActions() của SquidRouterModule. Hàm này chấp nhận dữ liệu gọi tùy ý và chỉ sử dụng một chuỗi xác minh cố định (fixed-string verification) mà kẻ tấn công có thể dễ dàng sao chép và sử dụng lại . Quy trình kỹ thuật diễn ra theo bốn bước tuần tự và nhanh như chớp:

1. Tạo hợp đồng swap giả mạo: Kẻ tấn công tạo ra các bể thanh khoản (liquidity pool) trên Uniswap V3 trông rất hợp pháp nhưng thực chất lại nằm dưới sự điều khiển của chúng .
2. Vượt qua cơ chế phê duyệt: Mô-đun bị lỗi cho phép kẻ tấn công mạo danh những người được ủy quyền (authorized delegates), từ đó bỏ qua hoàn toàn bước phê duyệt đa chữ ký (multi-signature) vốn là hàng rào bảo mật cốt lõi của Gnosis Safe .
3. Rút tiền với tốc độ cao: 86 ví Gnosis Safe lần lượt bị rút sạch trên cả Ethereum và Base trong khoảng hai tiếng .
4. Hợp nhất tài sản: Tất cả các token bị đánh cắp đều được hoán đổi sang đồng ổn định DAI và chuyển về một ví duy nhất mà kẻ tấn công kiểm soát, chứa xấp xỉ 3,07 triệu DAI .

Cách thức tấn công này khá đặc biệt, tập trung vào việc lạm dụng quyền hạn của mô-đun ví bên thứ ba để lật đổ toàn bộ hệ thống bảo mật. Nó khác biệt so với các vụ tấn công lớn khác trong năm 2026, vốn chủ yếu dựa vào các thông điệp xuyên chuỗi giả mạo .

Khoảng cách ba ngày oái oăm: Gọi vốn và khủng hoảng thương hiệu

Vụ khai thác SquidRouterModule xảy ra ở một thời điểm cực kỳ nhạy cảm với thương hiệu Squid:

• Ngày 22 tháng 5 năm 2026: Squid công bố vòng gọi vốn chiến lược trị giá 6 triệu USD, nâng tổng số tiền gọi vốn của dự án lên 13,5 triệu USD. Kế hoạch của họ là mở rộng các sản phẩm xuyên chuỗi hướng đến người dùng phổ thông .
• Ngày 25 tháng 5 năm 2026: Blockaid phát đi cảnh báo về vụ khai thác SquidRouterModule. Tin tức lan nhanh, gây ra một làn sóng hoang mang trong cộng đồng tiền mã hóa. Nhiều người lập tức liên tưởng vụ việc đến chính giao thức Squid .

Chỉ trong vài giờ, Squid đã phải phản ứng nhanh chóng qua nhiều kênh truyền thông, khẳng định hợp đồng bị tấn công là "không liên quan đến Squid" và có cấu trúc hoàn toàn khác biệt với các hợp đồng định tuyến xuyên chuỗi cốt lõi của họ . Công ty nhấn mạnh rằng không có tiền của người dùng Squid hay bất kỳ hợp đồng giao thức cốt lõi nào bị ảnh hưởng . Động thái bảo vệ thương hiệu khẩn cấp này là điều không thể tránh khỏi, vì chính cái tên "SquidRouterModule" đã tạo ra sự liên kết trực tiếp đến Squid trong các báo cáo công khai .

2026: Năm “bão tố” của các cầu nối xuyên chuỗi

Vụ tấn công SquidRouterModule chỉ là viên gạch mới nhất trong một bức tường thành đầy những lỗ hổng của các cầu nối xuyên chuỗi (cross-chain bridges) trong năm 2026. Đây đang là năm tồi tệ nhất từ trước đến nay về mặt an ninh đối với các giao thức này:

Số liệu từ công ty bảo mật blockchain PeckShield cho thấy, chỉ tính đến giữa tháng 5 năm 2026, đã có 8 vụ tấn công cầu nối lớn, gây thất thoát tổng cộng 328,6 triệu USD . Tổng thiệt hại từ các vụ hack trên toàn bộ thị trường tiền mã hóa đã vượt ngưỡng 750 triệu USD vào cuối tháng 5, và cầu nối xuyên chuỗi chính là mục tiêu tấn công lớn nhất .

Dù mỗi vụ có một kịch bản khác nhau, nhưng đều cho thấy những điểm yếu cố hữu. Các thông điệp xuyên chuỗi giả mạo đứng sau những vụ thiệt hại lớn nhất, ví dụ như vụ tấn công KelpDAO đã đúc ra 116.500 token rsETH "giả" từ hư không hay vụ hack cầu nối Verus đã "lừa" giao thức chuyển tiền từ kho dự trữ của nó . Các cuộc tấn công khác thì do lộ khóa riêng tư (như vụ ioTube của IoTeX) , hoặc lỗi logic trong hợp đồng thông minh (như vụ CrossCurve) . Vụ SquidRouterModule bổ sung thêm một kiểu tấn công mới: lạm dụng quyền của mô-đun ví bên thứ ba để vô hiệu hóa các khung bảo mật đã được thiết lập .

Tình trạng số tiền bị đánh cắp hiện ra sao?

Căn cứ theo các báo cáo mới nhất vào ngày 25-26/5/2026, số tiền khoảng 3,07 triệu DAI vẫn đang nằm im trong ví của kẻ tấn công. Chưa có bất kỳ lệnh phong tỏa, thu hồi hay động thái trả lại nào được ghi nhận . Địa chỉ ví của kẻ tấn công đã được nạp tiền thông qua Tornado Cash, một công cụ trộn giao dịch (mixer) nhằm xóa dấu vết nguồn tiền, vốn thường được sử dụng trong các vụ tấn công DeFi . Hiện chưa có báo cáo công khai nào về việc bắt giữ hay sự dịch chuyển của dòng tiền.

Sự cố này một lần nữa phơi bày thách thức dai dẳng trong bảo mật DeFi: ngay cả những cơ sở hạ tầng ví được kiểm toán kỹ lưỡng cũng có thể bị xâm phạm thông qua các mô-đun bên thứ ba mà người dùng tự cài đặt mà không đánh giá đầy đủ các rủi ro bảo mật. Bài học cho những người dùng ví Gnosis Safe là rất rõ ràng: mỗi mô-đun được thêm vào Safe sẽ mở rộng bề mặt tấn công, và lỗ hổng từ mô-đun có thể vô hiệu hóa hoàn toàn lớp bảo vệ đa chữ ký vốn là sức mạnh của loại ví này.