Opening
Ein von einem Drittanbieter bereitgestelltes Gnosis-Safe-Modul wurde über Ethereum und Base hinweg ausgenutzt, wodurch laut den Sicherheitsfirmen Blockaid und PeckShield in etwa zwei Stunden ungefähr 3,2 Millionen US-Dollar aus 86 Safes abgezogen wurden. Der verwundbare Vertrag, der auf Basescan unter dem Namen „SquidRouterModule“ verifiziert ist, wurde nicht von dem Cross-Chain-Protokoll Squid gebaut, eingesetzt oder betrieben. Squid-Mitgründer Fig stellte auf X klar: „Der Vertrag namens SquidRouterModule steht in keinem Zusammenhang mit Squid. Wir wissen noch nicht, wer diesen geschrieben oder eingesetzt hat.“ Der Exploit gelang, weil das Modul eine vom Aufrufer bereitgestellte konstante Zeichenkette als Beweis dafür akzeptierte, dass eine Nachricht sicher sei. Dadurch konnten Angreifer beliebige Calldata ausführen und Token aus den Safes der Opfer ohne Signaturen ausgeben. Der Vorfall spiegelt fortbestehende Sicherheitslücken im DeFi-Sektor wider: Dieser hat 2026 bereits mehr als 770 Millionen US-Dollar an Verlusten verbucht. Allein im April wurden rund 30 Vorfälle gemeldet und mehr als 630 Millionen US-Dollar abgezogen.
Exploit Mechanics
Das verwundbare SquidRouterModule akzeptierte eine vom Aufrufer bereitgestellte konstante Zeichenkette als kryptografischen Beweis dafür, dass eine Nachricht sicher ist. Durch die Übergabe dieser Zeichenkette konnte ein Angreifer beliebige Calldata ausführen und auf alle Token zugreifen, die sich in den Safes des Opfers befanden, ohne gültige Signaturen zu benötigen.
Laut der offiziellen Stellungnahme von Squid war der zentrale Router des Vertrags konzeptionell getrennt und vom Exploit unberührt, und das Projekt betonte, dass frühe öffentliche Berichte mit Verweis auf „SquidRouter“ technisch unzutreffend waren. Der Vertrag teilt zwar den Namen Squid, ist aber ein Drittanbieter-Produkt, das sich unter anderem unter anderen Protokollen für eine Integration mit Squid entschieden hat und keinen Kontakt zum Team hatte.
Attacker's Method and Fund Trail
Der Angreifer setzte mit Foundry entwickelte Exploit-Verträge ein, die den DelegateBundler-Pfad des Moduls aufriefen. Dabei imitierten sie autorisierte Delegierte auf jedem Safe und lösten nach Blockaid beliebige Swaps über Uniswap-V3-Pools aus.
Die Ziel-Assets wurden über vom Angreifer bereitgestellte Uniswap-V3-Pools in einen wertlosen, vom Angreifer erstellten Token namens „u“ getauscht. Anschließend zog der Angreifer die Liquidität aus den Pools ab und konsolidierte die Erlöse zu ungefähr 3,07 Millionen DAI, die nun in einem Wallet gehalten werden, das mit „0xa447...54859“ beginnt, wie PeckShield berichtete.
PeckShield stellte fest, dass die anfängliche Finanzierung des Exploiteurs in Höhe von 2,1 ETH aus Tornado Cash stammte.
Squid's Response
Squid erklärte, dass der Vertrag zwar den Namen Squid trägt, aber ein Drittanbieter-Produkt ist, das nicht mit dem Protokoll verbunden ist. In Figs Aussage wurde die fehlende Beteiligung des Projekts betont: „Wir wissen noch nicht, wer diesen geschrieben oder eingesetzt hat.“ Auf der offiziellen X-Seite von Squid hieß es außerdem, dass der zentrale Router konzeptionell getrennt sei und nicht vom Exploit betroffen war.
Squid's Recent Funding and Security Claims
Squid kündigte kürzlich eine strategische Finanzierungsrunde in Höhe von 6 Millionen US-Dollar an, die von North Island Ventures geleitet wird, mit Beteiligung von Ripple, Dialectic und Borderless.
Im Rahmen der Diskussionen über die Finanzierung sagte Figs gegenüber The Block, dass das Projekt bislang neun unabhängige Sicherheit-Audits abgeschlossen habe, keine Exploits verzeichnet habe und 99,99% Uptime beibehalten habe. Auf die Frage, ob Squid Projekte dabei unterstützt, ihre Cross-Chain-Infrastruktur nach Sicherheitsproblemen anderswo im Markt neu zu bewerten, sagte Fig, die Plattform stehe für Gespräche mit Teams offen, die eine sichere Konnektivität suchen.
DeFi Sector Losses in 2026
Cross-Chain-Interoperabilität bleibt eines der schwierigsten Themen im Krypto-Bereich, da es im Sektor über die Jahre hinweg mehrere Bridge-Exploits und Sicherheitsvorfälle gab. Das Daten-Dashboard von The Block zeigt, dass DeFi 2026 mehr als 770 Millionen US-Dollar an Verlusten verbucht hat. Allein im April wurden ein Rekord von rund 30 Vorfällen und mehr als 630 Millionen US-Dollar an abgezogenen Mitteln gemeldet.
