บทนำ
บริษัทด้านความปลอดภัย Blockaid และ PeckShield ระบุว่า โมดูล Gnosis Safe ของบุคคลที่สามที่ถูกโจมตีข้ามเครือข่ายทั้ง Ethereum และ Base ทำให้มีการระบายเงินราว 3.2 ล้านดอลลาร์จาก 86 Safes ภายในเวลาเพียงประมาณ 2 ชั่วโมง สัญญาที่มีช่องโหว่นั้นได้รับการยืนยันบน Basescan ในชื่อ "SquidRouterModule" โดยไม่ได้ถูกสร้าง นำไปใช้งาน หรือดำเนินการโดยโปรโตคอลข้ามสาย Squid ขณะที่ Fig ผู้ร่วมก่อตั้งของ Squid ชี้แจงบน X ว่า "สัญญาที่เรียกว่า SquidRouterModule ไม่เกี่ยวข้องกับ Squid เราไม่รู้เลยว่าใครเป็นคนเขียนหรือทำการดีพลอยสัญญานี้" ความสำเร็จของการโจมตีเกิดขึ้นเพราะโมดูลยอมรับสตริงค่าคงที่ที่ผู้เรียกส่งมาเป็นหลักฐานว่าข้อความมีความปลอดภัย ทำให้ผู้โจมตีสามารถรัน calldata แบบพลการและใช้โทเค็นที่ถืออยู่ใน Safes ของเหยื่อได้โดยไม่ต้องมีลายเซ็น เหตุการณ์นี้สะท้อนถึงช่องโหว่ด้านความปลอดภัยที่ยังคงดำรงอยู่ในภาค DeFi ซึ่งมีการบันทึกความสูญเสียมากกว่า 770 ล้านดอลลาร์ในปี 2026 โดยเดือนเมษายนเพียงเดือนเดียวมีรายงานราว 30 เหตุการณ์ และถูกระบายเงินมากกว่า 630 ล้านดอลลาร์
กลไกการโจมตี
โมดูล SquidRouterModule ที่มีช่องโหว่ยอมรับสตริงค่าคงที่ที่ผู้เรียกส่งมาเป็นหลักฐานเชิงเข้ารหัสว่าเป็นข้อความที่ปลอดภัย ด้วยการส่งสตริงนี้ ผู้โจมตีสามารถรัน calldata แบบพลการและเข้าถึงโทเค็นใด ๆ ที่ถืออยู่ใน Safes ของเหยื่อได้ โดยไม่จำเป็นต้องมีลายเซ็นที่ถูกต้อง
ตามแถลงการณ์อย่างเป็นทางการของ Squid เราท์เตอร์แกนกลางของสัญญาถูกออกแบบให้แยกจากกันเชิงสถาปัตยกรรม และไม่ได้ถูกแตะต้องด้วยการโจมตี และโปรเจกต์ยังเน้นย้ำว่ารายงานสาธารณะช่วงแรกที่อ้างอิงถึง "SquidRouter" นั้นไม่ถูกต้องในเชิงเทคนิค สัญญานี้มีชื่อคล้ายกับ Squid แต่เป็นผลิตภัณฑ์ของบุคคลที่สามที่เลือกผนวกรวมกับ Squid ในบรรดาโปรโตคอลอื่น ๆ และไม่มีการติดต่อกับทีม
วิธีการของผู้โจมตีและเส้นทางเงินทุน
Blockaid ระบุว่า ผู้โจมตีได้ดีพลอยสัญญาสำหรับการเอ็กซ์พลอยต์ที่อิง Foundry ซึ่งเรียกใช้งานเส้นทาง DelegateBundler ของโมดูล โดยแอบอ้างตัวแทน (delegates) ที่ได้รับอนุญาตบนแต่ละ Safe และกระตุ้นการสลับแบบพลการผ่านพูล Uniswap V3
สินทรัพย์เป้าหมายถูกสลับผ่านพูล Uniswap V3 ที่ผู้โจมตีเป็นผู้เริ่มต้นไปเป็นโทเค็นที่ไร้ค่า ซึ่งผู้โจมตีสร้างขึ้นและตั้งชื่อว่า "u" จากนั้นผู้โจมตีถอดสภาพคล่องออกจากพูลและรวบรวมผลลัพธ์เป็นเงินราว 3.07 ล้าน DAI ซึ่งขณะนี้ถืออยู่ในวอลเลตที่ขึ้นต้นด้วย "0xa447...54859" ตามข้อมูลของ PeckShield
PeckShield ระบุว่าเงินทุนตั้งต้น 2.1 ETH ของผู้เอ็กซ์พลอยต์มาจาก Tornado Cash
การตอบสนองของ Squid
Squid ระบุว่าแม้สัญญาจะมีชื่อ Squid แต่เป็นผลิตภัณฑ์ของบุคคลที่สามที่ไม่เกี่ยวข้องกับโปรโตคอล Fig ในคำชี้แจงย้ำถึงการที่โปรเจกต์ไม่มีส่วนเกี่ยวข้อง: "เรายังไม่รู้เลยว่าใครเป็นคนเขียนหรือทำการดีพลอยสัญญานี้" หน้า X อย่างเป็นทางการของ Squid ยังเพิ่มว่าเราท์เตอร์แกนกลางถูกแยกจากกันเชิงสถาปัตยกรรมและไม่ได้ถูกแตะต้อง
เงินทุนล่าสุดของ Squid และข้ออ้างด้านความปลอดภัย
เมื่อไม่นานมานี้ Squid ประกาศระดมทุนเชิงยุทธศาสตร์ 6 ล้านดอลลาร์ โดยมี North Island Ventures เป็นผู้นำ และมี Ripple, Dialectic และ Borderless เข้าร่วม
ระหว่างการหารือเรื่องเงินทุน Fig ของ Squid บอก The Block ว่าโปรเจกต์ได้ทำการตรวจสอบความปลอดภัยอิสระมาแล้ว 9 ครั้ง บันทึกไม่พบการเอ็กซ์พลอยต์ และรักษา uptime ได้ 99.99% เมื่อถูกถามว่า Squid กำลังมองที่จะช่วยเหลือโปรเจกต์ที่กำลังประเมินโครงสร้างพื้นฐานข้ามสายใหม่หลังจากปัญหาด้านความปลอดภัยในที่อื่น ๆ ของตลาดหรือไม่ Fig กล่าวว่าแพลตฟอร์มเปิดรับการสนทนากับทีมที่ต้องการการเชื่อมต่อที่ปลอดภัย
ความสูญเสียของภาค DeFi ในปี 2026
ความสามารถในการทำงานร่วมกันข้ามสายยังคงเป็นหนึ่งในพื้นที่ที่ยากที่สุดในคริปโต โดยตลอดหลายปีที่ผ่านมา ภาคส่วนนี้เผชิญการเอ็กซ์พลอยต์สะพานเชื่อม (bridge) และเหตุการณ์ด้านความปลอดภัยหลายครั้ง แดชบอร์ดข้อมูลของ The Block แสดงว่า DeFi มีการบันทึกความสูญเสียมากกว่า 770 ล้านดอลลาร์ในปี 2026 โดยเดือนเมษายนเพียงเดือนเดียวสร้างสถิติสูงสุดด้วยเหตุการณ์ราว 30 ครั้ง และถูกระบายเงินมากกว่า 630 ล้านดอลลาร์
