A Blockaid identificou uma vulnerabilidade no SquidRouterModule que drenou aproximadamente $3 milhões de 86 carteiras Gnosis Safe. O atacante converteu os tokens roubados em DAI tanto na Ethereum quanto na Base, depois movimentou os fundos para fora das contas comprometidas.
O exploit visou um módulo de contrato inteligente comumente integrado em configurações do Gnosis Safe. A própria Gnosis Safe – a infraestrutura de carteira multissignatura – não foi violada. A vulnerabilidade estava em como o SquidRouterModule processava certas chamadas de função, permitindo que um ator não autorizado executasse transferências de tokens das carteiras conectadas.
O que torna este incidente notável é a escala. Oitenta e seis carteiras sugerem um padrão de ataque coordenado, não ataques aleatórios. O atacante pode ter identificado uma integração comum em múltiplas instâncias de Safe e explorado-a sistematicamente. A escolha de converter ativos roubados em DAI em duas cadeias separadas indica sofisticação – distribuir os recursos ilícitos pela Ethereum e Base potencialmente complica esforços de rastreamento e recuperação.
A detecção da Blockaid veio de sua infraestrutura de monitoramento de transações, que indicou os drenos de carteira incomuns e swaps entre cadeias. A empresa de segurança levantou o alerta sem demora, prática padrão no espaço de monitoramento DeFi. Se usuários afetados já haviam perdido acesso aos seus fundos no momento em que o alerta foi divulgado publicamente permanece incerto no relatório inicial.
O incidente reforça uma fraqueza recorrente em arquiteturas de carteiras modulares. Usuários que adotam módulos não nativos – mesmo de projetos estabelecidos – assumem uma camada secundária de risco de contrato inteligente. O SquidRouterModule foi projetado para facilitar roteamento entre pools de liquidez e pontes, uma função utilitária que exigia permissões elevadas nas carteiras conectadas. Essas mesmas permissões se tornaram a superfície de ataque.
As perspectivas de recuperação dependem se o DAI drenado permanece rastreável na blockchain e se o atacante o movimentou através de mixers ou pontes para obscurecer o rastro. Usuários do Gnosis Safe devem auditar imediatamente seus módulos conectados e revogar permissões de qualquer contrato de terceiros que não usem ativamente. O alerta da Blockaid deve levar usuários afetados a verificar históricos de transações para execuções não autorizadas de módulos e entrar em contato com a equipe do SquidRouter para uma análise detalhada e qualquer medida de remediação disponível.
$3M drenados de 86 Safes via exploit do SquidRouterModule
Blockaid detectou um exploit no SquidRouterModule que drenou aproximadamente $3M de 86 carteiras Gnosis Safe, com tokens roubados convertidos para DAI nas redes Ethereum e Base. Trata-se de uma vulnerabilidade significativa em um componente amplamente utilizado da infraestrutura de carteiras.