Base/ETH Gnosis Safe 被利用：SquidRouterModule 窃走 320 万美元

据报道，针对 Base/ETH 的一次漏洞攻击在不到两小时内，从 86 个 Gnosis Safe 钱包中盗走约 320 万美元，攻击手段是一个名为 “SquidRouterModule” 的第三方模块。PeckShield 与 Blockaid 表示，关键在于受害者此前完成了白名单授权与更长权限配置，使该合约能够在无需额外用户签名的情况下完成转账。 根据 PeckShield 的说法，攻击者先通过 TornadoCash 取得 2.1 ETH 作为资金来源，随后利用攻击者控制的 Uniswap V3 池，将被盗资产迅速兑换成约 300 万枚 DAI。Blockaid 也指出，86 个 Gnosis Safe 钱包被快速攻破，原因同样与该 Safe 模块相关的授权过宽有关。 在后续报道中，文章补充了更具体的技术细节： “SquidRouterModule” 允许调用方提交不可变字符串作为“安全证明”，而受害者在把它加入为“受信任 Safe 模块”时接受了该逻辑，从而被绕过。与此同时，Squid 澄清：被利用的模块并非由 Squid 核心协议开发、部署或维护，且并非所有集成方/用户都受到影响。 对交易者而言，这是对 Base/ETH 多签使用的短期风险警示。应重点复核 Gnosis Safe 的模块授权与白名单设置：类似 “router/模块” 的命名可能掩盖真实合约风险，而与 SquidRouterModule 相关的权限配置是此次事件的核心触发点。