Squid phủ nhận liên quan trực tiếp đến vụ khai thác smart contract khiến khoảng 3 triệu USD bị rút khỏi 86 ví Gnosis Safe trên Ethereum và Base.

Điểm gây chú ý là lỗ hổng được nhắc tới nằm ở một module của bên thứ ba có tên “SquidRouterModule”, không phải hợp đồng core của Squid. Sự việc làm nổi bật rủi ro từ các module ví và quyền ủy nhiệm trong hệ sinh thái DeFi.

NỘI DUNG CHÍNH

Khoảng 3 triệu USD đã bị rút khỏi 86 ví Gnosis Safe trong khoảng hai giờ.
Squid nói hợp đồng bị khai thác là module bên thứ ba, không thuộc core protocol của hãng.
Vụ việc cho thấy rủi ro ngày càng lớn từ các module ví, quyền delegate và tích hợp DeFi.

Diễn biến vụ khai thác trên Ethereum và Base

Blockaid cho biết họ đã phát hiện một vụ khai thác đang diễn ra vào ngày 25/5, nhắm vào 86 ví Gnosis Safe trong khoảng hai giờ. Kẻ tấn công được cho là đã lợi dụng lỗ hổng trong hàm executeSameChainActions() gắn với hợp đồng “SquidRouterModule”.

Cơ chế này cho phép giao dịch độc hại giả mạo các delegate được ủy quyền và thực hiện hoán đổi token trái phép từ ví nạn nhân. Tài sản bị rút sau đó được chuyển qua các pool Uniswap V3 do kẻ tấn công kiểm soát trước khi được gom thành khoảng 3,07 triệu USD DAI.

Xem thêm: XLM điều chỉnh nhưng 2 xu hướng vẫn ủng hộ phe bò

Squid nói hợp đồng bị khai thác không phải core protocol

Squid cho biết vụ việc không ảnh hưởng đến các hợp đồng cốt lõi, người dùng hay các tích hợp chính của họ. Theo giải thích của dự án, module bị khai thác là một sản phẩm ví thông minh của bên thứ ba có tích hợp với Squid, nhưng không do công ty xây dựng, triển khai hay vận hành.

Trong phản hồi công khai, Squid nhấn mạnh rằng cách mô tả chính xác là “một SquidRouterModule của bên thứ ba bị khai thác, chứ không phải Router contract của Squid”. Dự án cũng cho biết hợp đồng dễ tổn thương đã dùng một chuỗi hằng do bên gọi cung cấp làm bằng chứng cho việc thông điệp an toàn, từ đó cho phép thực thi calldata tùy ý sau khi module được thêm như một Safe module đáng tin cậy.

Vì các Safe module đáng tin cậy có thể chi tiêu tài sản mà không cần thêm chữ ký, kẻ tấn công được cho là đã rút token trực tiếp từ những ví bị ảnh hưởng.

Rủi ro từ module ví và quyền ủy nhiệm trong DeFi

Vụ việc cho thấy rủi ro không chỉ nằm ở hợp đồng gốc của một giao thức mà còn ở các lớp tích hợp xung quanh nó. Khi ví, module ủy quyền và hạ tầng trung gian được cấp quyền rộng, một lỗi ở thành phần phụ trợ cũng có thể dẫn đến thiệt hại lớn.

Xem thêm: Cá voi mua 1 triệu USD liệu UNI có lấy lại mốc 4 USD?

Trường hợp này còn cho thấy cách đặt tên và quan hệ tích hợp có thể tạo ra tác động danh tiếng vượt ra ngoài phạm vi hợp đồng bị khai thác. Hiện chưa có dấu hiệu cho thấy router contract chính hoặc quỹ người dùng cốt lõi của Squid bị xâm phạm.

Tổng kết

Vụ việc xoay quanh một module bên thứ ba liên kết với Squid, không phải hợp đồng core của giao thức. Với các ví thông minh và cơ chế delegate, rủi ro từ quyền truy cập mở rộng vẫn là điểm cần theo dõi trong các tích hợp DeFi.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.