Safe向けモジュール悪用で約320万ドル流出
共同管理ウォレット「セーフ(Safe)」で有効化可能な第三者製モジュール「スクイッドルーターモジュール(SquidRouterModule)」が悪用され、約300万〜320万ドル(約4.8億〜5.1億円)相当の暗号資産(仮想通貨)が流出した。ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)が公式Xアカウントで5月25日に報告した。
今回悪用されたモジュール名にはクロスチェーンプロトコル「スクイッド(Squid)」の名称が含まれていたことから、初期段階ではスクイッドやセーフ自体の脆弱性を疑う見方も出た。
一方でスクイッドは、その後の公式X投稿で、今回の問題は同プロジェクトのコアプロトコルや公式コントラクトとは無関係であり、サードパーティ製モジュールによるものだと説明している。またセーフ側も、公式ウォレット製品やコアインフラではなく、外部連携を通じて導入された第三者モジュールが関係した可能性を示している。
セーフは、複数人承認による資産管理などに対応したイーサリアム系のスマートアカウント基盤だ。DAOや暗号資産プロジェクト、企業などが共同管理ウォレットとして利用している。
またセーフでは、「モジュール」と呼ばれる拡張機能を追加できる。これにより、自動実行やクロスチェーン操作などを実装できる一方、モジュールにはセーフ内資産を操作できる高い権限が付与される場合もある。
スクイッド共同創設者のフィグ(Fig)氏は、自身のXアカウントにおいて、ブロックエイドの投稿に返信する形で「スクイッドルーターモジュールというコントラクトはスクイッドとは無関係であり、誰が作成・デプロイしたかは現時点で不明」と説明している。
またスクイッド公式Xアカウントもその後に今回のインシデントについて説明した。同アカウントによると、問題のコントラクトはベーススキャン(Basescan)上で「SquidRouterModule」として検証されていたものの、スクイッドが構築・デプロイ・運用したものではないという。同アカウントは、被害を受けたのは、サードパーティ製モジュールを信頼済みモジュールとして有効化していたセーフアカウントのみであり、スクイッドユーザーおよびインテグレーターに影響はないとしている。
その後、セーフ財団もセーフのコアコントラクトや公式ウォレットアプリなどの公式インフラは影響を受けていないと公式アカウントで発表した。同財団によると、リスクがあるのは、公式ウォレットアプリ外で導入され、この未検証のサードパーティモジュールを有効化していた一部のセーフアカウントのみとのこと。
その後セーフ財団(Safe Foundation)は、サードパーティ製モジュールを利用しているユーザーに対し、有効化済みモジュールの確認や、不明または信頼できないモジュールの無効化を推奨している。また必要に応じて、承認取り消しツール「リヴォークキャッシュ(Revoke.cash)」などを利用し、承認状態を見直すよう呼びかけている。
同財団は、セーフモジュールは強力な実行権限を付与する機能であり、有効化前にサードパーティモジュールを監査・確認すべきと注意喚起している。
モジュール権限を悪用か
ブロックエイドの分析によると、今回悪用されたモジュールには、許可されたデリゲートであるかの確認に不備があり、攻撃者が正規ユーザーになりすまして、被害を受けたセーフ内で不正にトークン交換を実行した可能性がある。
スクイッド側の説明によると、このサードパーティ製モジュールでは、公開済みの固定文字列を安全性確認の証明として受け入れる設計になっていたという。攻撃者はこの文字列を用いることで、任意のcalldataを実行し、被害を受けたセーフ内の資産を移動できたとされる。
さらにブロックエイドによると、攻撃者は実際の資産を、自身が発行した無価値なトークン「u」と交換させていたという。また同社は、攻撃者が事前に「u」と標的トークンを組み合わせたユニスワップV3(Uniswap V3)プールへ流動性を供給し、流出後に流動性を引き上げたと分析している。
ペックシールド(PeckShield)によると、攻撃者はユニスワップV3プールから流動性を引き上げた後、盗難資産を約307万DAIへ交換したという。また、攻撃者ウォレットは当初、暗号資産ミキシングサービス「トルネードキャッシュ(Tornado Cash)」経由の2.1ETHで資金供給されていたとの分析も示している。
This incident is unrelated to Squid’s core protocol and contracts. All Squid users and integrators are unaffected and no action is needed.
— squid (@squidrouter) May 25, 2026
A third-party Gnosis Safe module was exploited today across Base and Ethereum, resulting in approximately $3.2M in losses. The vulnerable… https://t.co/I3gGmdBvE9
SquidRouterModule 3rd Party Module Incident
— Safe Foundation (@safefndn) May 25, 2026
We are aware of reports concerning a vulnerability in a third-party module named SquidRouterModule (not built, deployed, or operated by @safe). Safe’s core contracts, Safe{Wallet} – @SafeLabs_ and infrastructure are NOT AFFECTED. The… https://t.co/zWtIt3FcOO
参考:ペックシールド(X) ・フィグ(X)・ブロックエイド(X)
画像:PIXTA