El exploit de un módulo de terceros drena 3,2 millones de dólares de las Gnosis Safes

Apertura

Un módulo de Gnosis Safe de un tercero explotado en Ethereum y Base drenó aproximadamente 3,2 millones de dólares de 86 Safes en unas dos horas, según las firmas de seguridad Blockaid y PeckShield. El contrato vulnerable, verificado en Basescan bajo el nombre "SquidRouterModule," no fue construido, desplegado ni operado por el protocolo de entre cadenas Squid. El cofundador de Squid, Fig, aclaró en X: "El contrato llamado SquidRouterModule no tiene relación con Squid. Aún no sabemos quién lo escribió o desplegó." El exploit tuvo éxito porque el módulo aceptó una cadena constante proporcionada por el llamador como prueba de que un mensaje era seguro, lo que permitió a los atacantes ejecutar calldata arbitrario y gastar tokens mantenidos en los Safes de las víctimas sin firmas. Este incidente refleja vulnerabilidades de seguridad en curso en el sector DeFi, que ha registrado más de 770 millones de dólares en pérdidas en 2026, y solo en abril se registraron aproximadamente 30 incidentes y más de 630 millones de dólares drenados.

Mecánica del exploit

El SquidRouterModule vulnerable aceptó una cadena constante proporcionada por el llamador como prueba criptográfica de que un mensaje era seguro. Al pasar esta cadena, un atacante podía ejecutar calldata arbitrario y acceder a cualquier token mantenido en los Safes de la víctima sin requerir firmas válidas.

Según la declaración oficial de Squid, el router central del contrato estaba arquitectónicamente separado y no fue alterado por el exploit, y el proyecto subrayó que los reportes públicos iniciales que hacían referencia a "SquidRouter" eran técnicamente inexactos. El contrato comparte el nombre Squid, pero es un producto de un tercero que eligió integrarse con Squid junto con otros protocolos y no tuvo contacto con el equipo.

Método del atacante y rastro de fondos

El atacante desplegó contratos de exploit basados en Foundry que llamaban la ruta DelegateBundler del módulo, suplantando a delegados autorizados en cada Safe y activando swaps arbitrarios mediante pools de Uniswap V3, según Blockaid.

Los activos objetivo se intercambiaron a través de pools de Uniswap V3 sembrados por el atacante hacia un token sin valor creado por el atacante llamado "u." El atacante luego retiró la liquidez de los pools y consolidó el producto en aproximadamente 3,07 millones de DAI, ahora en una billetera que comienza con "0xa447...54859," según PeckShield.

PeckShield identificó que la financiación inicial del explotador de 2,1 ETH provino de Tornado Cash.

Respuesta de Squid

Squid afirmó que el contrato, aunque lleva el nombre Squid, es un producto de un tercero no relacionado con el protocolo. La declaración de Fig enfatizó la falta de participación del proyecto: "Aún no sabemos quién lo escribió o desplegó." La página oficial de X de Squid añadió que su router central estaba arquitectónicamente separado y no fue tocado.

Financiamiento reciente de Squid y afirmaciones de seguridad

Squid anunció recientemente una ronda de financiación estratégica de 6 millones de dólares liderada por North Island Ventures, con participación de Ripple, Dialectic y Borderless.

Durante las discusiones sobre la financiación, Fig de Squid dijo a The Block que el proyecto ha completado nueve auditorías independientes de seguridad hasta la fecha, no ha registrado exploits y mantiene un 99,99% de uptime. Al preguntársele si Squid busca servir a proyectos que están reevaluando su infraestructura entre cadenas tras problemas de seguridad en otras partes del mercado, Fig dijo que la plataforma está abierta a conversaciones con equipos que busquen conectividad segura.

Pérdidas del sector DeFi en 2026

La interoperabilidad entre cadenas sigue siendo una de las áreas más difíciles en cripto, con el sector experimentando múltiples exploits de puentes e incidentes de seguridad a lo largo de los años. El panel de datos de The Block muestra que DeFi ha registrado más de 770 millones de dólares en pérdidas en 2026, y que solo en abril se estableció un récord de aproximadamente 30 incidentes y más de 630 millones de dólares drenados.