opening
استغلّت وحدة (module) من نوع Gnosis Safe تابعة لجهة خارجية عبر شبكة Ethereum وBase، ما أدّى إلى استنزاف ما يقارب 3.2 مليون دولار من 86 Safe خلال قرابة ساعتين، بحسب شركتَي الأمن Blockaid وPeckShield. تم التحقق من العقد (contract) الضعيف على Basescan تحت اسم "SquidRouterModule"، ولم يكن من بنائه أو نشره أو تشغيله بروتوكول التراسل عبر السلاسل (cross-chain) Squid. وقد أوضح مؤسس Squid المشارك Fig على X: "العقد المسمّى SquidRouterModule لا علاقة له بـ Squid. ما زلنا لا نعرف بعد من الذي كتبه أو نشره". نجح الاستغلال لأن الوحدة قبلت سلسلة ثابتة يزوّد بها المتصل كدليل على أن رسالة ما آمنة، ما يسمح للمهاجمين بتنفيذ أي calldata بشكل تعسفي وصرف الرموز المحفوظة في Safe للضحية دون توقيعات. تعكس هذه الواقعة أوجه هشاشة أمنية مستمرة في قطاع DeFi؛ إذ سجّل القطاع خسائر تزيد عن 770 مليون دولار في 2026، مع تسجيل أبريل وحده قرابة 30 حادثة وأكثر من 630 مليون دولار تم سحبها.
Exploit Mechanics
قبلت وحدة SquidRouterModule الضعيفة سلسلة ثابتة يزوّد بها المتصل كدليل تشفيري على أن رسالة ما آمنة. ومن خلال تمرير هذه السلسلة، يمكن للمهاجم تنفيذ calldata تعسفي والوصول إلى أي رموز محتفظ بها داخل Safe الخاص بالضحية دون الحاجة إلى توقيعات صحيحة.
وبحسب بيان Squid الرسمي، فإن مُوجّه (router) العقد الأساسي كان منفصلًا من الناحية المعمارية (architecturally) دون مساس من الاستغلال، وأكد المشروع أن التقارير العامة المبكرة التي تشير إلى "SquidRouter" كانت غير دقيقة من الناحية التقنية. ويشارك العقد اسم Squid، لكنه منتج تابع لجهة خارجية اختار التكامل مع Squid إلى جانب بروتوكولات أخرى، ولا توجد له صلة مباشرة بالفريق.
Attacker's Method and Fund Trail
نشر المهاجم عقود استغلال قائمة على Foundry تستدعي مسار DelegateBundler الخاص بالوحدة، محاكياً (impersonating) المندوبين المفوضين على كل Safe، ما أدى إلى تفعيل عمليات مبادلة تعسفية عبر مجمّعات Uniswap V3، وفقاً لـ Blockaid.
تمت مبادلة الأصول المستهدفة عبر مجمّعات Uniswap V3 تغذت بسيولة من المهاجم إلى توكن عديم القيمة أنشأه المهاجم باسم "u". ثم أزال المهاجم السيولة من المجمّعات وجمّع العائدات إلى ما يقارب 3.07 مليون DAI، أصبحت الآن محفوظة في محفظة تبدأ بـ "0xa447...54859"، وفقاً لـ PeckShield.
حددت PeckShield أن التمويل الأولي للمستغل بقيمة 2.1 ETH جاء من Tornado Cash.
Squid's Response
ذكر Squid أن العقد، رغم حمله اسم Squid، هو منتج تابع لجهة خارجية غير مرتبط بالبروتوكول. شدد بيان Fig على عدم تورط المشروع: "ما زلنا لا نعرف بعد من الذي كتب أو نشر هذا". وأضافت صفحة Squid الرسمية على X أن مُوجّهها الأساسي منفصل من الناحية المعمارية دون مساس.
Squid's Recent Funding and Security Claims
أعلن Squid مؤخراً عن جولة تمويل استراتيجية بقيمة 6 ملايين دولار تقودها North Island Ventures، مع مشاركة Ripple وDialectic وBorderless.
وخلال المناقشات حول التمويل، قال Fig من Squid لـ The Block إن المشروع أنهى تسع عمليات تدقيق أمنية مستقلة حتى الآن، وسجل عدم وقوع أي استغلالات، ويحافظ على جاهزية (uptime) بنسبة 99.99%. وعندما سُئل عمّا إذا كان Squid يخطط لخدمة المشاريع التي تعيد تقييم بنيتها التحتية عبر السلاسل عقب مشكلات أمنية في أماكن أخرى بالسوق، قال Fig إن المنصة منفتحة على محادثات مع فرق تبحث عن اتصال آمن.
DeFi Sector Losses in 2026
تظل قابلية التشغيل البيني عبر السلاسل واحدة من أصعب مجالات التشفير، حيث شهد القطاع عبر السنوات استغلالات متعددة للجسور وحوادث أمنية. وتُظهر لوحة بيانات The Block أن DeFi سجّل أكثر من 770 مليون دولار في خسائر في 2026، حيث حقق أبريل وحده رقماً قياسياً بلغ قرابة 30 حادثة وأكثر من 630 مليون دولار تم سحبها.
