25 мая 2026 года злоумышленник атаковал Safe-кошельки, связанные с New Market Trading. Через уязвимый сторонний модуль SquidRouterModule он заставил кошельки выполнять несанкционированные обмены, увёл реальные активы в заранее подготовленные пулы и вывел около $3 млн+. Основной протокол Squid и 1inch не были скомпрометированы.
Что такой Safe и почему модуль — это опасно
Safe (раньше назывался Gnosis Safe) — это очень популярный тип кошелька в DeFi: он не хранится на одном устройстве — для любой операции нужно несколько подписей. Такой кошелёк опасен не напрямую — одиночная компрометация не даёт вору вывести средства.
Однако к кошелькам можно подключать дополнительные модули — программы, расширяющие функциональность. Модуль подключается однажды и затем может действовать от имени кошелька без дополнительного подтверждения. Если в самом модуле есть ошибка — это уже риск.
В данном случае модуль назывался SquidRouterModule, но не являлся официальным контрактом Squid Router. Атакующий нашёл в нём уязвимость: модуль недостаточно строго проверял, кто именно отправляет команду, и доверял данным внутри запроса, а не запрашивал подпись владельца кошелька.
Почему это стало возможным
Представьте: у вас есть доверенный сотрудник, который может заказывать продукты от вашего имени. Он показывает товарный чек — вы смотрите на сумму и подписываете. Но что, если этот сотрудник будет купить что-то другое — вы узнаете в последнюю минуту?
Именно так работает уязвимый модуль: он позволял передать поддельные данные отправителя, представляясь разрешённым исполнителем. Ошибка в проверке полномочий открыла эту дыру.
Подготовка была тщательной: атакующий заранее создал специальные пулы Uniswap V3 с фейковым токеном u, чтобы жертвы получали бесполезный токен, а реальные активы уходили в пул.
Детали расследования: движение средств
1️⃣ Уязвимый модуль принудил Safe-кошельки проводить обмены через заранее подготовленные пулы. Реальные активы уходили в пул, взамен жертвы получали бесценный токен u.
2️⃣ Адрес 0x7c82cb4b2909c50c7c0f2b696eee7565e0a23bb8 забрал активы из пулов через операции с позициями ликвидности Uniswap V3 (позиция ликвидности — это доля в пуле, дающая право на часть средств).
3️⃣ Полученные активы были обменяны через DEX-агрегаторы в токен DAI (стейблкоин, привязанный к доллару).
4️⃣ Почти весь DAI был отправлен на адрес 0xa447f71782135ab96a71374271a749ff7aa54859, где и остаются на момент расследования.
Заключение
Атака на New Market Trading показывает: даже надёжный многоподписной кошелёк уязвим, если дополнительные модули недостаточно проверяют права. Официальные протоколы Squid и Uniswap не пострадали.
Если к вашему Safe-кошельку подключены сторонние модули, стоит проверить их происхождение, аудит и отключить те, что больше не используются.
Команда «КоинКит» продолжает отслеживать адреса атакующего.
