Squid、320万ドルの悪用の背後に未知の第三者モジュール
この事件は、モジュール型DeFi(分散型金融)ウォレットシステムにおけるセキュリティリスクを浮き彫りにした。Squidによると、86件のGnosis Safeウォレットから、同社の中核プロトコルとは無関係の第三者製SquidRouterModuleを通じて資金が引き出された。
ETH
DAI
UNI
ファクトチェック
この主張は双方の一次情報源によって裏付けられている。BlockaidのX投稿とcrypto.newsは、EthereumおよびBase上でSquidRouterModuleのエクスプロイトを通じて86件のGnosis Safe全体で約$3Mが失われたことを確認している。Squidの公式声明(@squidrouter)は、損失額が約$3.2Mであると明示的に示し、エクスプロイトの原因を第三者製のSafe Module(Squidの中核ルーターやコントラクトではない)に帰しており、Squidのユーザーとインテグレーターは影響を受けていないと述べている。これはこの主張の文言と正確に一致する。
要約
セキュリティ企業のPeckShieldとBlockaidによると、2026年5月25日にEthereumとBaseで、86件のGnosis Safeウォレットから2時間足らずの間に約$3.2 millionが流出した。PeckShieldによれば、当初TornadoCashから2.1 ETHの資金供給を受けた攻撃者ウォレット0xA447…54859は、盗んだ資産を攻撃者支配下のユニスワップV3プールを通じて約$3 million相当のDAIに変換した。Blockaidは、被害者が以前に第三者製SquidRouterModuleを高い権限を持つ信頼済みSafe Moduleとして承認しており、その結果、新たなユーザー署名なしで引き出しが可能になっていたと述べた。更新された報道では、このモジュールがセキュリティチェックとして呼び出し元が指定するimmutable文字列に依存していたとされ、攻撃者はそれを公開ソースコードから読み取り、防御を回避できたという点が加わった。Squidは、悪用されたコントラクトはSquidが構築、デプロイ、管理したものではなく、中核プロトコルと公式ルーターコントラクトは影響を受けていないと述べた。
用語解説
- Gnosis Safe: ブロックチェーンネットワーク上で、マルチシグ保管とプログラム可能な資産管理に用いられるスマートコントラクト型ウォレットシステム。
- Safe Module: Gnosis Safeに機能を追加する拡張コントラクトであり、ウォレットに代わってアクションを実行する権限を付与できる。
- TornadoCash: 資産をプールして再分配することで、ブロックチェーン上の資金の送信元と送信先を分かりにくくする仮想通貨ミキシングサービス。