Um módulo de terceiros do Gnosis Safe explorado no Ethereum e na Base terá drenado aproximadamente 3,2 milhões de dólares de 86 Safes num período de cerca de duas horas, segundo as empresas de segurança Blockaid e PeckShield. O contrato vulnerável, verificado na Basescan com o nome “SquidRouterModule”, não foi construído, implementado ou operado pelo protocolo de interoperabilidade entre cadeias Squid. O cofundador da Squid, Fig, esclareceu no X: “O contrato chamado SquidRouterModule não tem relação com a Squid. Ainda não sabemos quem o escreveu ou implementou.” A exploração teve sucesso porque o módulo aceitou uma string constante fornecida pelo chamador como prova de que uma mensagem estava segura, permitindo aos atacantes executar calldata arbitrário e gastar tokens detidos nos Safes das vítimas sem assinaturas. Este incidente reflecte vulnerabilidades de segurança em curso no sector DeFi, que registou mais de 770 milhões de dólares em perdas em 2026, com apenas Abril a registar aproximadamente 30 incidentes e mais de 630 milhões de dólares drenados.
O vulnerável SquidRouterModule aceitou uma string constante fornecida pelo chamador como prova criptográfica de que uma mensagem estava segura. Ao passar esta string, um atacante poderia executar calldata arbitrário e aceder a quaisquer tokens detidos nos Safes da vítima sem exigir assinaturas válidas.
De acordo com a declaração oficial da Squid, o router central do contrato foi arquitecturalmente separado e não foi tocado pela exploração, e o projecto salientou que o primeiro reporte público que referia “SquidRouter” era tecnicamente impreciso. O contrato partilha o nome Squid, mas é um produto de terceiros que optou por integrar-se com a Squid entre outros protocolos e que não teve qualquer contacto com a equipa.
O atacante implementou contratos de exploração baseados em Foundry que chamaram o caminho DelegateBundler do módulo, personificando delegados autorizados em cada Safe e despoletando swaps arbitrários através de pools Uniswap V3, segundo a Blockaid.
Os activos-alvo foram trocados através de pools Uniswap V3 semeados pelo atacante para um token sem valor criado pelo atacante chamado “u”. O atacante retirou então a liquidez dos pools e consolidou os proveitos em aproximadamente 3,07 milhões de DAI, agora detidos numa carteira que começa com “0xa447...54859”, segundo a PeckShield.
A PeckShield identificou que o financiamento inicial do explorador de 2,1 ETH veio da Tornado Cash.
A Squid afirmou que o contrato, apesar de ostentar o nome Squid, é um produto de terceiros não relacionado com o protocolo. A declaração de Fig sublinhou a falta de envolvimento do projecto: “Ainda não sabemos quem o escreveu ou implementou.” A página oficial da Squid no X acrescentou que o seu router central foi arquitecturalmente separado e não foi tocado.
A Squid anunciou recentemente uma ronda de financiamento estratégico de 6 milhões de dólares liderada pela North Island Ventures, com participação da Ripple, Dialectic e Borderless.
Durante as discussões sobre o financiamento, Fig da Squid disse à The Block que o projecto concluiu nove auditorias independentes de segurança até à data, não registou explorações e manteve 99,99% de uptime. Quando questionado se a Squid está a procurar servir projectos a reavaliar a sua infra-estrutura de cross-chain na sequência de problemas de segurança noutros pontos do mercado, Fig afirmou que a plataforma está aberta a conversas com equipas que procuram conectividade segura.
A interoperabilidade cross-chain continua a ser uma das áreas mais difíceis na cripto, com o sector a sofrer múltiplas explorações de bridges e incidentes de segurança ao longo dos anos. O dashboard de dados da The Block mostra que o DeFi registou mais de 770 milhões de dólares em perdas em 2026, com Abril sozinho a estabelecer um recorde de cerca de 30 incidentes e mais de 630 milhões de dólares drenados.
Notícias relacionadas
Violação na governação do StablR leva à cunhagem de 12,85 milhões de dólares em tokens sem lastro
Ataque à cadeia de abastecimento do TrapDoor nos três principais armazéns: 34 pacotes maliciosos para roubar carteiras de criptomoedas
StablR sofre um ataque com múltiplas assinaturas, EURR e USDR perdem a paridade; 13,5 milhões de tokens são cunhados