新聞 
幣種資訊 
關於我們 
根據 Cointelegraph 報導,於 13 日(當地時間),以太坊(ETH)與「Base」網路上與「Safe」多重簽章錢包相連的第三方「模組」,遭駭客惡意利用,導致約 320 萬美元資金被盜。表面上這些都是設定嚴謹的多重簽章錢包,但由於「授權行為範圍過大」的模組被攻擊者當作入口,使整體「錢包安全」再次敲響警鐘。「Safe」與「模組」等詞,在本次事件中成為關鍵焦點。
根據區塊鏈安全公司 Blockaid 的說法,本次事故與一個名為「SquidRouterModule」的合約有關。事件初期,市場一度懷疑與跨鏈協議「Squid」有直接關聯,不過 Squid 團隊隨後在 X 平台澄清,該事件與「核心協議」無關,問題出在被第三方部署並濫用的外掛模組,名稱雖然相同,但並非同一套程式碼。
「評論」這類命名重疊、卻與官方程式無關的模組,未來恐怕會成為駭客常用的混淆手法,讓一般用戶更難分辨風險來源。
Safe(前身為 Gnosis Safe)是一款需多位使用者共同簽署後,交易才可執行的多重簽章錢包。然而,當用戶額外安裝「選用模組」時,只要該模組在合約內被授予足夠權限,就能代替錢包發動操作。若此類模組的「權限管理」設計過於寬鬆,就可能在安全機制外,再打開一條新的攻擊路徑。
Blockaid 指出,這次攻擊大約持續了 2 小時,期間至少有 86 個 Safe 帳戶受到影響。被盜走的各類代幣,最終都被駭客透過其控制的 Uniswap V3 交易池兌換成穩定幣「Dai(DAI)」,藉此完成洗出與資金整合。
Blockaid 將本次漏洞主因鎖定在「SquidRouterModule」的設計缺陷上。該模組疑似讓攻擊者能偽裝成「已授權代理人」,在未取得所有者真實同意的情況下,自行發動代幣兌換等操作。
Safe Labs 執行長拉胡爾·魯馬拉(Rahul Rumalla)則表示,遭殃的這批帳戶,看起來並非透過官方的 Safe Wallet 應用建立與管理,而是經由外部部署的整合方案所生成。換言之,問題更可能出在「第三方整合與模組使用方式」,而非 Safe 官方產品本身。
他同時強調,Safe 已推出「Safe Shield」機制,用來預先警示「惡意」或「未經驗證」的模組與安全守衛(Guard),此次出事的模組,早已被 Blockaid 列入「風險識別清單」,只是部分用戶與開發者仍可能忽視了這類警告。
「評論」這顯示出僅仰賴工具方提供的風險標示並不夠,開發者與專業用戶若持續安裝來路不明的模組,即使使用的是「Safe」這種主打安全性的多簽架構,仍無法真正降低整體攻擊面。
此次事件凸顯一個關鍵問題:在 DeFi 與錢包基礎設施中,被標示為「可信賴模組」的外掛,很可能反而是整個系統的「最大弱點」。與其單純強調多重簽章的「簽署人數」,更重要的是釐清:有哪些模組、腳本或代理可以「代表錢包行動」,且它們的權限是否被過度開放。
隨著 DeFi 生態日益複雜,「多簽錢包」、「模組化設計」與「授權管理」三者交織出的安全風險,正成為新一輪攻擊重心。未來錢包「安全性」評估的重點,恐怕會從「多少人簽名」逐步轉向「每個結構元件是否經過嚴格驗證」。
「評論」對專業使用者與機構投資人來說,本次 Safe 模組事件再次提醒:真正的安全不僅來自主體錢包合約的設計,更來自於你願意信任、安裝與授權的每一個外部模組與整合工具。
留言 0