Squid协议因第三方模块漏洞致320万美元异常流出

事件概述：第三方模块漏洞被利用

据Cointelegraph报道，跨链协议Squid与Safe Labs确认，此次安全事件源于一个名为TransferExecutor的第三方模块中的授权漏洞。攻击者利用该漏洞绕过了正常的权限检查，从Squid协议中提取了约320万美元的加密资产。The Block进一步指出，Squid团队在事后分析中表示，该模块并非由他们部署，团队对部署者身份也毫不知情。

Squid协议本身是一个跨链桥，允许用户在不同区块链之间交换资产。此次漏洞并未影响Squid核心协议或路由器合约，仅与第三方集成的模块有关。据Safe Labs调查，该模块似乎被部署在以太坊主网上，但缺乏官方签名和审计记录，怀疑是恶意第三方利用名称误导用户。

团队回应：核心协议安全，模块来源不明

据The Block报道，Squid团队在社交平台上紧急澄清：“我们不知道是谁部署了这个模块。”他们强调，Squid官方从未授权或使用过该TransferExecutor模块，本次事件仅限于该模块的单点问题，所有通过官方路由器执行的交易均未受影响。Safe Labs也发布声明，称该模块并非其官方创建或审计的组件，建议用户避免与未经验证的合约交互。

Cointelegraph的报道中补充，Squid已联系安全专家和交易所对被盗地址进行监控，同时提醒用户撤销对可疑模块的授权。本次事件再次凸显了DeFi生态中第三方集成组件可能带来的风险，即使是知名协议也可能因外部模块的漏洞而遭受资金损失。

资金追回：攻击者返还大部分资产

据The Block报道，在事件发生后数小时内，攻击者向Squid团队指定的地址返还了约270万美元的资金。剩余约50万美元尚未归还，推测可能是作为攻击者的“报酬”或已被转移。Squid团队证实了这笔返还，并表示将继续与执法机构和安全公司合作追讨剩余部分。

此次安全事件中，由于模块来源不明且未被官方审计，给用户和协议都造成了困扰。Squid和Safe Labs均呼吁行业加强对第三方模块的审核和权限管理。截至目前，Squid核心协议已恢复正常运行，用户资产安全性未受进一步威胁。

综合报道自Cointelegraph、The Block