Mô-đun bên thứ ba trên Safe Wallet bị hack, thất thoát 3,2 triệu USD trên Ethereum(ETH) và Base

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), một mô-đun bên thứ ba kết nối với ví *Safe* trên mạng **Ethereum(ETH)** và **Base** đã bị tin tặc lợi dụng, dẫn đến việc thất thoát khoảng *3,2 triệu đô la Mỹ* tài sản số. Dù ví *Safe* vốn được xem là ví đa chữ ký an toàn, song quyền thực thi quá rộng của mô-đun được “tin tưởng” lại trở thành cửa ngõ cho cuộc tấn công, thổi bùng thêm lo ngại về **từ bảo mật tiền mã hóa**.

Theo Cointelegraph, công ty bảo mật blockchain Blockaid cho biết sự cố lần này liên quan tới một hợp đồng được gắn nhãn *“SquidRouterModule”*. Ban đầu, dư luận nghi ngờ mô-đun này có liên quan đến giao thức cross-chain *Squid*. Tuy nhiên, phía Squid khẳng định trên X rằng vụ việc “không liên quan đến giao thức cốt lõi, mà xuất phát từ mô-đun bên thứ ba bị lạm dụng”, đồng thời nhấn mạnh dù trùng tên nhưng mô-đun nói trên không hề dùng chung mã nguồn với họ.

*Safe* (tên cũ là Gnosis Safe) là loại ví đa chữ ký cho phép giao dịch chỉ được thực hiện khi có đủ số lượng người dùng phê duyệt. Tuy nhiên, khi người dùng gắn thêm các mô-đun tùy chọn, những đoạn mã đã được cấp quyền có thể thay mặt ví thực thi hành động. Nếu quyền hạn cấp cho mô-đun quá rộng hoặc được cấu hình lỏng lẻo, phạm vi tổn thất trong trường hợp bị tấn công sẽ tăng lên đáng kể. Blockaid ước tính trong khoảng 2 giờ, ít nhất 86 tài khoản *Safe* đã bị ảnh hưởng, và toàn bộ token bị đánh cắp đều được kẻ tấn công hoán đổi sang **từ Dai(DAI)** thông qua một pool *Uniswap V3* do chính chúng kiểm soát.

Blockaid chỉ ra lỗ hổng xuất phát từ chính *SquidRouterModule*, cho rằng kẻ tấn công có thể đã giả dạng như một đại diện được ủy quyền hợp lệ để thực hiện các giao dịch hoán đổi token trái phép. Rahul Rumala, Giám đốc điều hành Safe Labs, nhận định các tài khoản bị ảnh hưởng dường như không vận hành thông qua ứng dụng **từ Safe Wallet** chính thức, mà có khả năng được tạo lập và quản lý thông qua cơ chế tích hợp do bên thứ ba triển khai. Ông cũng cho biết công cụ **từ Safe Shield** được thiết kế nhằm cảnh báo sớm cho người dùng về những mô-đun và “guard” độc hại hoặc chưa được kiểm chứng, và mô-đun dính lỗ hổng đã nằm trong danh sách rủi ro của Blockaid từ trước.

*bình luận*

Sự cố này cho thấy trong hạ tầng DeFi và ví tiền mã hóa, các **từ mô-đun đáng tin cậy** có thể trở thành điểm yếu chí mạng nếu quyền truy cập không được kiểm soát chặt chẽ. Thay vì chỉ tập trung vào số lượng chữ ký của ví đa chữ ký, trọng tâm **từ bảo mật tiền mã hóa** đang dần dịch chuyển sang việc rà soát, đánh giá và giới hạn quyền của từng thành phần tích hợp. Với xu hướng ví thông minh, account abstraction và mô-đun hóa ngày càng phổ biến, việc người dùng chủ động kiểm tra nguồn gốc, quyền hạn và mức độ xác thực của mô-đun gắn với ví trở thành yêu cầu sống còn để bảo vệ tài sản on-chain.