Blockaid identifizierte eine Schwachstelle in SquidRouterModule, die etwa $3 Millionen aus 86 Gnosis Safe-Geldbörsen abzog. Der Angreifer tauschte die gestohlenen Token in DAI auf Ethereum und Base aus und transferierte dann die Mittel von den kompromittierten Konten.
Der Exploit zielte auf ein Smart-Contract-Modul ab, das häufig in Gnosis Safe-Konfigurationen integriert ist. Gnosis Safe selbst – die Multi-Signature-Wallet-Infrastruktur – wurde nicht kompromittiert. Die Schwachstelle lag darin, wie SquidRouterModule bestimmte Funktionsaufrufe handhabte und es einem unbefugten Akteur ermöglichte, Token-Transfers von verbundenen Geldbörsen auszuführen.
Das Bemerkenswerte an diesem Vorfall ist das Ausmaß. Sechsundachtzig Geldbörsen deuten auf ein koordiniertes Angriffsmuster hin, nicht auf zufällige Angriffe. Der Angreifer könnte eine gemeinsame Integration über mehrere Safe-Instanzen identifiziert und systematisch ausgenutzt haben. Die Wahl, gestohlene Vermögenswerte auf zwei separaten Ketten in DAI umzuwandeln, deutet auf Raffinesse hin – die Verteilung der illegalen Einnahmen auf Ethereum und Base erschwert möglicherweise die Verfolgung und Wiederherstellung.
Die Erkennung durch Blockaid stammt aus ihrer Transaktionsüberwachungsinfrastruktur, die ungewöhnliche Wallet-Ableitungen und Ketten-übergreifende Swaps kennzeichnete. Das Sicherheitsunternehmen gab die Warnung unverzüglich ab, was in der DeFi-Überwachungsbranche Standard ist. Ob betroffene Benutzer bereits zum Zeitpunkt der Veröffentlichung der Warnung den Zugriff auf ihre Mittel verloren hatten, bleibt aus dem ursprünglichen Bericht unklar.
Der Vorfall unterstreicht eine wiederkehrende Schwäche in modularen Wallet-Architekturen. Benutzer, die Nicht-Native-Module übernehmen – auch von etablierten Projekten – tragen eine sekundäre Schicht des Smart-Contract-Risikos. SquidRouterModule sollte das Routing über Liquiditätspools und Brücken erleichtern, eine Dienstfunktion, die erhöhte Berechtigungen auf verbundenen Geldbörsen erforderte. Diese gleichen Berechtigungen wurden zur Angriffsfläche.
Die Wiederherstellungsaussichten hängen davon ab, ob das abgeleitete DAI auf der Kette rückverfolgbar bleibt und ob der Angreifer es über Mixer oder Brücken übertragen hat, um die Spur zu verwischen. Gnosis Safe-Benutzer sollten ihre verbundenen Module sofort überprüfen und Berechtigungen für Drittanbieter-Verträge widerrufen, die sie nicht aktiv nutzen. Die Blockaid-Warnung sollte betroffene Benutzer veranlassen, Transaktionshistorien auf nicht autorisierte Modulausführungen zu überprüfen und sich mit dem SquidRouter-Team für eine detaillierte Nachbesprechung und verfügbare Abhilfemaßnahmen in Verbindung zu setzen.
$3M aus 86 Gnosis Safe über SquidRouterModule-Exploit abgezogen
Blockaid erkannte eine Sicherheitslücke in SquidRouterModule, die etwa $3M aus 86 Gnosis Safe-Geldbörsen abzog, wobei gestohlene Token gegen DAI in Ethereum- und Base-Netzwerken getauscht wurden. Dies stellt eine erhebliche Smart-Contract-Schwachstelle dar, die eine weit verbreitete Wallet-Infrastrukturkomponente betrifft.