Exploração de módulo de terceiros drena 3,2 milhões de dólares dos Gnosis Safes

Abertura

Um módulo de terceiros do Gnosis Safe explorado no Ethereum e na Base terá drenado aproximadamente 3,2 milhões de dólares de 86 Safes num período de cerca de duas horas, segundo as empresas de segurança Blockaid e PeckShield. O contrato vulnerável, verificado na Basescan com o nome “SquidRouterModule”, não foi construído, implementado ou operado pelo protocolo de interoperabilidade entre cadeias Squid. O cofundador da Squid, Fig, esclareceu no X: “O contrato chamado SquidRouterModule não tem relação com a Squid. Ainda não sabemos quem o escreveu ou implementou.” A exploração teve sucesso porque o módulo aceitou uma string constante fornecida pelo chamador como prova de que uma mensagem estava segura, permitindo aos atacantes executar calldata arbitrário e gastar tokens detidos nos Safes das vítimas sem assinaturas. Este incidente reflecte vulnerabilidades de segurança em curso no sector DeFi, que registou mais de 770 milhões de dólares em perdas em 2026, com apenas Abril a registar aproximadamente 30 incidentes e mais de 630 milhões de dólares drenados.

Mecânicas da Exploração

O vulnerável SquidRouterModule aceitou uma string constante fornecida pelo chamador como prova criptográfica de que uma mensagem estava segura. Ao passar esta string, um atacante poderia executar calldata arbitrário e aceder a quaisquer tokens detidos nos Safes da vítima sem exigir assinaturas válidas.

De acordo com a declaração oficial da Squid, o router central do contrato foi arquitecturalmente separado e não foi tocado pela exploração, e o projecto salientou que o primeiro reporte público que referia “SquidRouter” era tecnicamente impreciso. O contrato partilha o nome Squid, mas é um produto de terceiros que optou por integrar-se com a Squid entre outros protocolos e que não teve qualquer contacto com a equipa.

Método do Atacante e Rasto dos Fundos

O atacante implementou contratos de exploração baseados em Foundry que chamaram o caminho DelegateBundler do módulo, personificando delegados autorizados em cada Safe e despoletando swaps arbitrários através de pools Uniswap V3, segundo a Blockaid.

Os activos-alvo foram trocados através de pools Uniswap V3 semeados pelo atacante para um token sem valor criado pelo atacante chamado “u”. O atacante retirou então a liquidez dos pools e consolidou os proveitos em aproximadamente 3,07 milhões de DAI, agora detidos numa carteira que começa com “0xa447...54859”, segundo a PeckShield.

A PeckShield identificou que o financiamento inicial do explorador de 2,1 ETH veio da Tornado Cash.

Resposta da Squid

A Squid afirmou que o contrato, apesar de ostentar o nome Squid, é um produto de terceiros não relacionado com o protocolo. A declaração de Fig sublinhou a falta de envolvimento do projecto: “Ainda não sabemos quem o escreveu ou implementou.” A página oficial da Squid no X acrescentou que o seu router central foi arquitecturalmente separado e não foi tocado.

Financiamento Recente e Alegações de Segurança da Squid

A Squid anunciou recentemente uma ronda de financiamento estratégico de 6 milhões de dólares liderada pela North Island Ventures, com participação da Ripple, Dialectic e Borderless.

Durante as discussões sobre o financiamento, Fig da Squid disse à The Block que o projecto concluiu nove auditorias independentes de segurança até à data, não registou explorações e manteve 99,99% de uptime. Quando questionado se a Squid está a procurar servir projectos a reavaliar a sua infra-estrutura de cross-chain na sequência de problemas de segurança noutros pontos do mercado, Fig afirmou que a plataforma está aberta a conversas com equipas que procuram conectividade segura.

Perdas do Sector DeFi em 2026

A interoperabilidade cross-chain continua a ser uma das áreas mais difíceis na cripto, com o sector a sofrer múltiplas explorações de bridges e incidentes de segurança ao longo dos anos. O dashboard de dados da The Block mostra que o DeFi registou mais de 770 milhões de dólares em perdas em 2026, com Abril sozinho a estabelecer um recorde de cerca de 30 incidentes e mais de 630 milhões de dólares drenados.