Blockaid identificó una vulnerabilidad en SquidRouterModule que drenó aproximadamente $3 millones de 86 billeteras Gnosis Safe. El atacante cambió los tokens robados por DAI en Ethereum y Base, y luego sacó los fondos de las cuentas comprometidas.
La explotación apuntó a un módulo de contrato inteligente comúnmente integrado en configuraciones de Gnosis Safe. Gnosis Safe en sí – la infraestructura de billetera multifirma – no fue violada. La vulnerabilidad radicaba en cómo SquidRouterModule manejaba ciertas llamadas de función, permitiendo a un actor no autorizado ejecutar transferencias de tokens desde billeteras conectadas.
Lo que hace notable este incidente es la escala. Ochenta y seis billeteras sugieren un patrón de ataque coordinado, no ataques aleatorios. El atacante pudo haber identificado una integración común en múltiples instancias de Safe y explotarla sistemáticamente. La elección de convertir activos robados en DAI en dos cadenas separadas indica sofisticación – distribuir las ganancias ilícitas entre Ethereum y Base potencialmente complica los esfuerzos de rastreo y recuperación.
La detección de Blockaid provino de su infraestructura de monitoreo de transacciones, que marcó los drenajes de billetera inusual e intercambios entre cadenas. La empresa de seguridad emitió la alerta sin demora, que es práctica estándar en el espacio de monitoreo DeFi. Si los usuarios afectados ya habían perdido acceso a sus fondos en el momento en que se hizo pública la alerta sigue siendo poco claro del informe inicial.
El incidente subraya una debilidad recurrente en arquitecturas de billetera modular. Los usuarios que adoptan módulos no nativos – incluso de proyectos establecidos – asumen una capa secundaria de riesgo de contrato inteligente. SquidRouterModule fue diseñado para facilitar el enrutamiento a través de grupos de liquidez y puentes, una función de utilidad que requería permisos elevados en billeteras conectadas. Esos mismos permisos se convirtieron en la superficie de ataque.
Las perspectivas de recuperación dependen de si el DAI drenado sigue siendo rastreable en la cadena y si el atacante lo movió a través de mezcladores o puentes para ocultar el rastro. Los usuarios de Gnosis Safe deben auditar inmediatamente sus módulos conectados y revocar permisos de cualquier contrato de terceros que no utilicen activamente. La alerta de Blockaid debe instar a los usuarios afectados a verificar historiales de transacciones para ejecuciones de módulos no autorizadas y comunicarse con el equipo de SquidRouter para una revisión detallada y pasos de remediación disponibles.
$3M drenados de 86 Gnosis Safe a través de explotación SquidRouterModule
Blockaid detectó una vulnerabilidad en SquidRouterModule que drenó aproximadamente $3M de 86 billeteras Gnosis Safe, con tokens robados intercambiados a DAI en redes Ethereum y Base. Esto representa una vulnerabilidad significativa de contrato inteligente que afecta a un componente de infraestructura de billetera ampliamente utilizado.