A third-party module connected to the Gnosis Safe ecosystem was exploited across Ethereum and Base networks, draining approximately $3.2 million from 86 different Safes in two hours. The vulnerable contract, verified on Basescan as "SquidRouterModule," initially sparked confusion due to its name association with Squid protocol. However, Squid clarified that the contract was not built, deployed, or operated by the project, and that the module independently integrated with Squid and other protocols without direct project involvement. Security firms Blockaid and PeckShield were among the first to report details of the incident, which exploited a flaw in the module's signature verification mechanism.

Exploit Mechanics

The vulnerable module accepted a caller-supplied constant string as proof that a transaction message was secure. By passing this value, attackers were able to bypass signature verification mechanisms and execute arbitrary call data from victim wallets. This flaw gave attackers the ability to spend tokens held in affected Safes without requiring legitimate wallet approvals.

Security researchers determined that the exploit relied on Foundry-based exploit contracts that targeted the module's DelegateBundler execution path. According to Blockaid, the attackers impersonated authorized delegates tied to each Safe and initiated arbitrary token swaps through Uniswap V3 liquidity pools.

Asset Conversion and Current Status

The stolen assets were converted into an attacker-created worthless token known as "u" through specially seeded liquidity pools controlled by the exploiter. After routing the assets through these pools, the attacker removed liquidity and consolidated the proceeds into approximately 3.07 million DAI. PeckShield stated that the funds are currently being held in a wallet beginning with "0xa447...54859."

Пояснення від Squid

Squid розкритикував ранні публічні повідомлення, які некоректно пов’язували експлойт безпосередньо з його протоколом. Псевдонімний співзасновник Squid Fig заявив, що скомпрометований модуль не має стосунку до ключової інфраструктури Squid. За словами команди, основна маршрутизаторна архітектура протоколу залишалася повністю окремою та не зазнала впливу експлойту. Squid пояснив, що вразливий контракт лише використовував назву Squid і незалежно інтегрувався з кількома протоколами, зокрема Squid, без прямої участі проєкту самого.

Переглянути джерело

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.

Пов’язані новини

6год тому

Oobit блокує кошти EURR у шестивимірному обсязі після атаки на смартконтракт StablR

7год тому

Інцидент із Squid Security стався через уразливість у модулі SquidRouterModule безпечного гаманця: засновник Mist

8год тому

Фонд Saturn вносить гаманці атакувальників у чорний список і блокує $3M у вкрадених коштах

Пов'язані статті

Бізнес-дайджест Gate за день (26 травня): Hyperliquid підтримує прогнозування ринкового обсягу під ланцюгові події; Gnosis Safe зазнав атаки, збитки — 3,2 млн

Market Whisper10год тому

Шкідливе програмне забезпечення з «плющеним замком» (trapdoor): масштабна атака на ланцюг постачання проти розробників криптовалют

Coinpedia11год тому

Експлойт модуля сторонньої сторони виводить $3,2 млн із сейфів Gnosis

Ethan Brooks21год тому

Порушення в управлінні StablR призвело до карбування токенів без забезпечення на $12,85 млн

Ethan Brooks05-25 10:03

Атака в ланцюжку постачання TrapDoor зачепила три великі склади: 34 зловмисні пакети викрали кошти з криптовалютних гаманців

Market Whisper05-25 02:34

Прокоментувати

0/400

Немає коментарів