Blockaid waarschuwde voor een kwetsbaarheid in SquidRouterModule die ongeveer 3 miljoen dollar uit 86 Gnosis Safe portefeuilles draineerde. De aanvaller wisselde de gestolen tokens in DAI om op zowel Ethereum als Base, waarna de middelen uit de gecompromitteerde accounts werden overgedragen.
De exploit richtte zich op een smart contract module die veel wordt geïntegreerd in Gnosis Safe configuraties. Gnosis Safe zelf – de multi-signature portefeuille-infrastructuur – is niet geschonden. De kwetsbaarheid lag in de manier waarop SquidRouterModule bepaalde functieaanroepen afhandelde, waardoor een onbevoegde partij tokenoverdrachten kon uitvoeren vanuit verbonden portefeuilles.
Wat dit incident opmerkelijk maakt, is de schaal. Zesentachtig portefeuilles duidt op een gecoördineerd aanvalspatroon, geen willekeurige aanvallen. De aanvaller kan een gemeenschappelijke integratie over meerdere Safe-instanties hebben geïdentificeerd en deze systematisch hebben uitgebuit. De keuze om gestolen activa in DAI om te zetten op twee afzonderlijke ketens duidt op geavanceerdheid – het spreiden van illegale winsten over Ethereum en Base bemoeilijkt potentieel het volgen en herstelinspanningen.
Blockaid's detectie kwam uit hun transactie-monitoringinfrastructuur, die ongebruikelijke portefeuille-afvoerstromen en cross-chain swaps flagde. Het beveiligingsbedrijf gaf onmiddellijk alarm, wat standaardpraktijk is in de DeFi-monitoringsfeer. Of getroffen gebruikers al toegang tot hun middelen hadden verloren toen het alert openbaar werd gemaakt, blijft onduidelijk uit het initiële rapport.
Het incident onderstreept een terugkerende zwakheid in modulaire portefeuille-architecturen. Gebruikers die niet-native modules aannemen – zelfs van gevestigde projecten – nemen een secundair laag van smart contract risico op zich. SquidRouterModule werd ontworpen om routering via liquiditeitspools en bruggen te vergemakkelijken, een utiliteitsfunctie die verhoogde machtigingen op verbonden portefeuilles vereiste. Dezelfde machtigingen werden het aanvalsoppervlak.
Hersteluitzichten hangen af van of de afgeloopte DAI traceerbaar op-chain blijft en of de aanvaller deze via mixers of bruggen heeft overgebracht om het spoor te verduisteren. Gnosis Safe-gebruikers moeten hun verbonden modules onmiddellijk controleren en toestemmingen van alle externe contracten die zij niet actief gebruiken intrekken. De Blockaid-waarschuwing moet getroffen gebruikers ertoe aanzetten hun transactiegeschiedenis op niet-geautoriseerde module-uitvoeringen te controleren en het SquidRouter-team te contacteren voor een gedetailleerde post-mortem en eventuele beschikbare mitigatiesstappen.
SquidRouterModule exploit lucht 3 miljoen uit 86 Gnosis Safes
Blockaid ontdekte een kwetsbaarheid in SquidRouterModule die ongeveer 3 miljoen dollar uit 86 Gnosis Safe portefeuilles draineerde. De gestolen tokens werden omgewisseld in DAI op zowel Ethereum als Base, wat wijst op een aanzienlijk beveiligingsgat in de portefeuilleinfrastructuur.