Il cross-chain router Squid ha preso le distanze da un modulo Gnosis Safe di terze parti, SquidRouterModule, dopo che degli attaccanti hanno svuotato circa 3,2 milioni di dollari tra Ethereum e Base.
Le aziende di sicurezza blockchain hanno segnalato l’exploit che ha colpito 86 account Gnosis Safe in circa 2 ore.
Squid si dissocia dall’exploit da 3,2 milioni di dollari su SquidRouterModule
Blockaid ha evidenziato che l’attaccante ha convertito i token rubati in Dai (DAI) attraverso pool di Uniswap V3 controllate dall’attaccante.
Separatamente, la società di sicurezza PeckShield ha dichiarato che l’attaccante era stato inizialmente finanziato con 2,1 ETH provenienti da Tornado Cash. Inoltre, la società ha aggiunto che il wallet dell’hacker 0xA447…54859 conteneva gli asset rubati.
Seguici su X per ricevere le ultime notizie in tempo reale
Squid è intervenuta rapidamente su X per prendere le distanze dal proprio protocollo dal contratto oggetto di exploit. Il team ha dichiarato che “il contratto condivide il nostro nome ma non è il nostro codice.” Ha anche sottolineato che nessuno dei suoi utenti è stato coinvolto.
“I primi report pubblici potrebbero fare riferimento a ‘SquidRouter’ a causa del nome verificato del contratto su Basescan. La formulazione corretta è: è stato compromesso un modulo di terze parti, SquidRouterModule, non il Router contract di Squid,” ha dichiarato il team.
Su Basescan, il contratto compromesso appare con il nome “SquidRouterModule”, il che ha generato confusione iniziale. Squid ha precisato che il team non ha avuto alcun ruolo nella scrittura del contratto né nella sua pubblicazione on-chain. Ha descritto il modulo come un prodotto smart-wallet di terze parti integrato con diversi protocolli, tra cui anche Squid.
Il vero router di Squid si trova a 0xce16F69375520ab01377ce7B88f5BA8C48F8D666 e si basa su un’architettura differente. Quel contratto non è stato toccato dall’attacco, e i saldi degli utenti, le autorizzazioni e le integrazioni della piattaforma restano tutte al sicuro.
“L’exploit è stato possibile perché il modulo di terze parti accettava una stringa costante fornita dal chiamante come prova che un messaggio fosse sicuro. Se si inseriva questa stringa (che è pubblicamente disponibile all’interno del codice verificato del contratto), si poteva eseguire una serie di arbitrary calldata e rubare fondi a volontà. Le Safe delle vittime avevano aggiunto questo contratto fallato come Safe Module fidato, il che conferiva al contratto la possibilità di spendere qualsiasi token nel Safe senza firme,” ha spiegato in dettaglio il protocollo.
L’episodio è uno dei numerosi exploit crypto che hanno colpito vari protocolli questo mese. DefiLlama ha monitorato oltre 20 exploit nel mese di maggio 2026.
Iscriviti al nostro canale YouTube per ascoltare approfondimenti dai protagonisti e dai giornalisti del settore
