SquidRouterModule漏洞兩小時內清空86個Gnosis Safe錢包 300萬美金唔見咗

Squid反應好快，即刻同呢個出事嘅模組割蓆，強調SquidRouterModule係一個第三方Gnosis Safe模組，佢哋「無開發過、無部署過、亦無運作過」，同佢哋嘅核心跨鏈路由協議結構上完全唔同 。黑客嘅攻擊地址係通過私隱混幣器Tornado Cash入金嘅；截至最新報告，嗰筆約307萬DAI嘅贓款仲原封不動咁趴喺黑客銀包度，未被凍結，亦未有任何追討成功嘅消息 。

漏洞點樣繞過Gnosis Safe嘅多重簽名保護？

今次攻擊嘅核心，係SquidRouterModule入面一個叫executeSameChainActions()嘅功能存在漏洞。呢個功能會接收任意嘅呼叫數據，而且淨係用一個固定唔變嘅字串去做身分驗證，黑客好輕易就可以重複利用呢個漏洞 。成個技術攻擊流程好快，分四步搞掂：

1. 部署假嘅兌換合約：黑客建立咗睇落好似係正版嘅Uniswap V3流動性池，但實際上完全由佢哋控制 。
2. 繞過授權審批：利用嗰個有漏洞嘅模組，黑客成功冒充咗獲授權嘅代表，直接繞過Gnosis Safe本身嘅多重簽名審批機制 。
3. 極速清倉：喺大概兩個鐘頭內，86個Safe錢包喺以太坊同Base鏈上接連被清空 。
4. 集中贓款：所有偷返嚟嘅代幣都換晒做DAI，然後轉入一個黑客控制嘅單一錢包，入面大約有307萬DAI 。

呢種「濫用第三方模組嘅弱雞驗證機制去騎劫錢包安全」嘅攻擊方式，同2026年其他主要漏洞有啲唔同。今年好多大劫案，例如KelpDAO嗰單，主要都係靠偽造跨鏈訊息嚟落手 。

尷尬嘅三日：Squid前腳融資，黑客後腳搞事

SquidRouterModule呢次漏洞攻擊，發生喺Squid品牌最敏感嘅時間點：

• 2026年5月22日：Squid宣布完成咗600萬美元嘅戰略融資，累計總融資額去到1350萬美元，仲話會用嚟擴展面向消費者嘅跨鏈產品 。
• 2026年5月25日：Blockaid就出咗SquidRouterModule嘅攻擊警報，即時令加密貨幣社群將個名同Squid掛鉤，造成品牌混淆 。

Squid喺幾個鐘頭內就透過多個渠道澄清，強調呢個出事嘅模組「同Squid無關」，結構上亦同佢哋核心嘅跨鏈路由合約完全唔同 。公司再三強調，Squid嘅用戶資金同核心協議合約並無受到影響 。呢種急速嘅品牌防禦好有必要，因為單係個模組個名，就已經令公眾直接將佢同Squid扯上關係 。

血流成河嘅2026年：跨鏈橋成黑客提款機

SquidRouterModule事件只係2026年跨鏈攻擊災難浪潮嘅最新一單。呢一年，係跨鏈橋保安史上最黑暗嘅一年：

根據區塊鏈安全公司PeckShield嘅數據，截至2026年5月中，八單主要嘅跨鏈橋相關黑客攻擊，總共由跨鏈協議度偷走咗成3.286億美元 。如果計晒所有類別，去到5月下旬，成個加密貨幣市場畀人偷咗嘅錢已經超過7.5億美元，而跨鏈橋係當中最大嘅單一攻擊途徑 。

攻擊手法雖然各有唔同，但都睇到一啲死穴。偽造跨鏈訊息係幾單最大劫案嘅元兇，包括KelpDAO攻擊——黑客就係靠呢招，憑空鑄造咗116,500個假嘅rsETH代幣 ；而Verus跨鏈橋嗰單，黑客亦係用偽造訊息，呃到協議由儲備度直接科水 。好似IoTeX ioTube橋攻擊嗰種私鑰洩露 ，同CrossCurve黑客嗰種智能合約邏輯漏洞 ，依然係揮之不去嘅威脅。今次SquidRouterModule漏洞，就為攻擊百科全書增添咗一種新玩法：濫用第三方錢包模組嘅權限，繞過現有嘅安全框架 。

筆錢而家點？

根據2026年5月25至26日嘅最新報告，嗰筆大約307萬DAI嘅贓款仲原封不動咁趴喺黑客嘅錢包入面，無被凍結、追討或者歸還過嘅消息 。黑客嗰個攻擊地址係通過私隱混幣器Tornado Cash入金嘅——呢種混幣器成日畀DeFi攻擊用嚟模糊資金來源 。到目前為止，無任何關於有人被捕或者資金被轉走嘅公開報告。

呢次事件突顯咗去中心化金融（DeFi）保安嘅一個死結：就算錢包基建經過幾嚴謹嘅審計都好，只要用家整合咗第三方模組而又無徹底審查佢嘅安全屬性，一樣有機會中招。對於Gnosis Safe嘅用家嚟講，教訓好清楚——你加得一個模組入Safe，就等如開多咗個可能俾人攻擊嘅門口。模組嘅漏洞，係可以完全繞過Safe本身嗰套令佢咁安全嘅多重簽名保護。