Exploit SquidRouterModule drena 3 milioni da 86 Gnosis Safe

Blockaid ha indicato una vulnerabilità nel SquidRouterModule che ha drenato circa 3 milioni di dollari da 86 portafogli Gnosis Safe. L'attaccante ha scambiato i token rubati in DAI sia su Ethereum che su Base, quindi ha trasferito i fondi dai conti compromessi.

L'exploit ha preso di mira un modulo di smart contract comunemente integrato nelle configurazioni di Gnosis Safe. Gnosis Safe stesso – l'infrastruttura del portafoglio multi-firma – non è stato violato. La vulnerabilità risiedeva nel modo in cui SquidRouterModule gestiva determinate chiamate di funzione, consentendo a un attore non autorizzato di eseguire trasferimenti di token dai portafogli connessi.

Ciò che rende notevole questo incidente è la scala. Ottantasei portafogli suggeriscono uno schema di targeting coordinato, non attacchi casuali. L'attaccante potrebbe aver identificato un'integrazione comune su più istanze Safe e sfruttarla sistematicamente. La scelta di convertire i beni rubati in DAI su due catene separate indica sofisticazione – distribuire i proventi illeciti su Ethereum e Base complica potenzialmente la tracciabilità e gli sforzi di recupero.

Il rilevamento di Blockaid è stato effettuato dalla loro infrastruttura di monitoraggio delle transazioni, che ha indicato gli insoliti drenaggi di portafogli e gli swap cross-chain. La società di sicurezza ha lanciato l'allarme senza indugi, pratica standard nello spazio di monitoraggio DeFi. Se gli utenti interessati avessero già perso l'accesso ai loro fondi al momento della pubblicazione dell'avviso rimane poco chiaro dal rapporto iniziale.

L'incidente evidenzia una debolezza ricorrente nelle architetture di portafogli modulari. Gli utenti che adottano moduli non nativi – anche da progetti affermati – assumono un livello secondario di rischio di smart contract. SquidRouterModule è stato progettato per facilitare il routing tra pool di liquidità e bridge, una funzione di utilità che richiedeva autorizzazioni elevate sui portafogli connessi. Quelle stesse autorizzazioni sono diventate la superficie di attacco.

Le prospettive di recupero dipendono dal fatto che il DAI drenato rimanga tracciabile on-chain e dal fatto che l'attaccante lo abbia trasferito attraverso mixer o bridge per offuscare la traccia. Gli utenti di Gnosis Safe dovrebbero controllare immediatamente i loro moduli connessi e revocare i permessi da qualsiasi contratto di terze parti che non utilizzano attivamente. L'avviso di Blockaid dovrebbe spingere gli utenti interessati a controllare la cronologia delle transazioni per esecuzioni di moduli non autorizzate e contattare il team di SquidRouter per un post-mortem dettagliato e eventuali passaggi di mitigazione disponibili.