2026 年 5 月 26 日，一个看似“局部”的模块漏洞，把 Safe 钱包推上了安全风暴的中心：攻击者盯上的不是用户私钥，而是挂载在 Safe 环境中的 SquidRouterModule 模块。安全机构监测到，在以太坊和 Base 等链上，这一模块被利用存在缺陷的验证逻辑，攻击者通过伪造消息绕过原有校验流程，直接从 Safe 地址发起恶意交易，事件性质被明确为一次有针对性的安全漏洞利用（exploit）。慢雾创始人余弦随即公开强调，问题不在密钥泄露，而在于受影响的 Safe 地址启用了存在漏洞的 SquidRouterModule，真正被撕开的，是模块化扩展这一层的防线。随着攻击路径被确认，Saturn 基金会第一时间对攻击者相关钱包地址拉黑，并宣布冻结已流入其体系内的被盗资金，同时重申自身合约与基础设施未被攻破，这一步将原本看似“单一模块事故”的技术问题，升级为整个模块化钱包生态必须正面回应的安全警报。

从私钥泄露到模块被攻破的认知反转

事件刚被注意到时，链上转出路径高度集中在一批 Safe 地址上，最直观、也最“惯性”的解释，就是又一次私钥泄露：要么用户中招钓鱼签名，要么托管环境被渗透。但这个熟悉的叙事，很快被慢雾的分析推翻。慢雾创始人余弦直接点名，“问题不在私钥，问题在这些 Safe 地址用到的 SquidRouterModule 模块存在漏洞，攻击者可以伪造消息，轻易绕过相关验证”，把矛头从用户操作和密钥管理，转向挂在 Safe 上的第三方模块本身。

抽样结果进一步坐实了这种反转：据慢雾披露，受影响的相关 Safe 钱包全部是单签形态，owner 地址彼此独立，并不存在同一私钥在多钱包间复用、同步泄露的迹象。在常规安全事件里，“单签+不同 owner”往往意味着攻击面应当是分散的，但在这起攻击中，它们却被同一条利用链串联起来，唯一的公共点就是都接入了 SquidRouterModule。正是这个模块允许攻击者在 Safe 环境中伪造消息、绕过原本应当挡下异常操作的验证流程，促成了恶意交易得以落地，安全关注点也由此从“用户有没有保管好私钥”，被迫迁移为“模块代码是否值得被托付签名权限”。

Safe 模块化钱包的隐形雷区被踩中

Safe（原 Gnosis Safe）这几年几乎成了多链多签钱包的行业默认选项，很多团队一旦把资产迁进 Safe，就默认“安全问题基本封顶”。但 Safe 本身只是一个账户框架，真正驱动各种“高级玩法”的，是可以挂载在其上的模块：一旦接入，这些模块就能在特定场景下代表账户发起操作，既带来了自动化、跨链路由等便利，也在悄悄扩大可被利用的攻击面——用户看到的仍是同一个 Safe 地址，背后代码路径却已经不再是那套熟悉的核心逻辑。

本次被点名的 SquidRouterModule，就是这样一个为 Safe 账户提供跨链路由能力的第三方模块。安全机构 Blockaid 监测到，以太坊和 Base 链上的 SquidRouterModule 均遭到同类攻击，漏洞明确出现在模块层，而非 Safe 核心合约本身；Saturn 基金会也强调其合约或基础设施未受影响，问题集中在特定模块与钱包组合的交互方式上。这一切把一个残酷现实摆到台前：即便核心合约通过了审计、被无数资金验证，模块化钱包在接入第三方能力时，仍需要同样严苛的代码审计和接入标准，否则“安全账户”随时可能被一块薄弱外延拖入风险深水区。

多链中招：以太坊与 Base 同受攻击

几乎是在漏洞被确认的同时，安全机构 Blockaid 就在链上拉起了警报：以太坊和 Base 两条主流网络上的 SquidRouterModule 都出现了同类异常调用，指向同一个利用路径。这意味着出问题的不是某个孤立部署或单个项目环境，而是一整套“Safe + SquidRouterModule”的多链组合被攻破，影响天然跨越链界，不再是某条链内部可以封堵的局部事故。

更棘手的是，风险轮廓到现在都还看不清。公开资料中既没有确切的受害钱包数量，也没有被盗资金的总规模，Blockaid 与各安全团队能给出的，也只是“已确认存在多链利用”的定性判断。慢雾的抽样分析则补上了一个关键细节：受影响地址以单签 Safe 为主，且 owner 各不相同，这种结构让攻击在操作门槛上显得异常“友好”——攻击者只要成功利用模块绕过验证，就等于直接触发单一 owner 的授权效果，无需对付多重签名协调。在多链、多模块的拼接环境里，一旦某个模块在多条链上复用，这种低门槛、高扩散的结构性风险，就会被成倍放大。

Saturn 黑名单生效：被盗资金暂被锁死

在攻击路径被确认之后，Saturn 基金会迅速选择用权限“兜底”：将攻击者相关钱包地址列入黑名单，并宣布已冻结被盗资金，阻止这些资产在 Saturn 体系内继续转移和使用。对已经落入攻击者控制的资产而言，这一步相当于临时拉起一道闸门，把资金锁在 Saturn 的“围墙”之内，至少在短期内切断了进一步套现或搬运的路径。

与冻结同步抛出的，还有一则同样重要的声明：Saturn 强调本次事件并未直接波及 Saturn 合约或基础设施本身，问题出在 Safe 钱包环境中挂载的 SquidRouterModule 模块漏洞，而非 Saturn 底层出现缺陷。黑名单与冻结动作，既是事后响应而非事前防护，也是一次舆论与信任层面的“自证”——一方面，它为受害者争取了追踪和协商的时间窗口，部分修补了协议信誉；另一方面，也提醒市场这类可冻结机制天然存在边界：只有当资产仍在 Saturn 体系可控范围内时才有效，且用户必须接受协议拥有这类处置权的前提，才能把这种事后防线视作真正可靠的安全选项。

下一次模块被打爆前，我们能做什么

这次围绕 SquidRouterModule 的漏洞利用，把一个残酷事实摆在台面上：哪怕是像 Safe 这样被广泛采用的钱包标准，一旦挂载第三方模块，整体风险画像就不再等同于“原版 Safe”，而是由最薄弱的那块模块来决定。对协议方和模块开发者而言，下一步不只是修一个洞，而是把模块当成一等公民的安全组件对待——提高接入门槛和审计标准，在上线前就清晰披露威胁模型和权限边界，在事件发生时第一时间与慢雾、Blockaid 等安全机构协作，拉起监测、通报与应急流程，并尽快下架或禁用存在风险的模块、同步补丁进展。对普通用户来说，每启用一个高复杂度跨链模块，本质上就是给资产再多加一层不完全可见的攻击面，在目前具体被盗金额、受影响钱包数量、漏洞技术细节和补丁状态都尚未公开的情况下，更谨慎的做法是减少不必要的模块授权，尤其审慎对待跨链路由类功能，并密切关注后续公告：SquidRouterModule 会否被停用或修复、Safe 生态是否更新模块安全规范、Saturn 和相关安全团队是否释出更完整的分析报告，这些信息连同最终确认的损失规模，将共同决定这起事件在整个模块化钱包发展史中的影响等级。

加入我们的社区，一起来讨论，一起变得更强吧！
链上电报（Telegram）社群：https://t.me/AiCoinWhaleData
链上社区：https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特：https://x.com/aicoinwhaledata
AiCoin专属Hyperliquid福利：https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利：https://www.asterdex.com/zh-CN/referral/9C50e2

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。