Эксплойт модуля сторонней разработки выводит 3,2 млн долларов из сейфов Gnosis

Вступление

Эксплуатируемый сторонним модулем Gnosis Safe был использован на Ethereum и Base: злоумышленники примерно за два часа вывели около $3,2 млн из 86 сейфов, сообщают фирмы по безопасности Blockaid и PeckShield. Уязвимый контракт, верифицированный на Basescan под названием «SquidRouterModule», не был создан, развернут или задействован кроссчейн-протоколом Squid. Сооснователь Squid Fig уточнил в X: «Контракт под названием SquidRouterModule не относится к Squid. Мы пока не знаем, кто написал или развернул это». Эксплуатация удалась потому, что модуль принимал переданную вызывающей стороной константную строку в качестве доказательства того, что сообщение безопасно, что позволяло атакерам исполнять произвольный calldata и тратить токены, хранящиеся в сейфах жертв, без подписей. Этот инцидент отражает сохраняющиеся уязвимости безопасности в DeFi: в 2026 году сектор уже зафиксировал потери более чем на $770 млн; в одном лишь апреле произошло около 30 инцидентов, а суммарно было выведено более $630 млн.

Механика эксплойта

Уязвимый SquidRouterModule принимал переданную вызывающей стороной константную строку как криптографическое доказательство того, что сообщение безопасно. Передав эту строку, атакующий мог выполнить произвольный calldata и получить доступ к любым токенам, хранящимся в сейфах жертв, без необходимости валидных подписей.

Согласно официальному заявлению Squid, основной роутер контракта был архитектурно отделён и не был затронут эксплойтом, а проект подчеркнул, что ранняя публичная отчётность с упоминанием «SquidRouter» технически неточна. Контракт использует название Squid, но является сторонним продуктом: он выбрал интеграцию с Squid среди прочих протоколов и не имел контактов с командой.

Метод атакующего и след средств

Злоумышленник развернул exploit-контракты на базе Foundry, которые вызывали путь модуля DelegateBundler, выдавая себя за авторизованных делегатов на каждом сейфе и инициируя произвольные свопы через пулы Uniswap V3, сообщают в Blockaid.

Целевые активы были обменены через пулы Uniswap V3, заранее созданные атакующим, в никчёмный токен, также созданный атакующим, под названием «u». Затем атакующий вывел ликвидность из пулов и консолидировал выручку примерно в 3,07 млн DAI, которые теперь хранятся в кошельке, начинающемся на «0xa447...54859», сообщают в PeckShield.

PeckShield установил, что первоначальное финансирование эксплойтера в размере 2,1 ETH поступило из Tornado Cash.

Ответ Squid

Squid заявил, что контракт, хотя и носит название Squid, является сторонним продуктом, не связанным с протоколом. В заявлении Fig подчеркнута непричастность проекта: «Мы пока не знаем, кто написал или развернул это». Официальная страница Squid в X добавила, что её основной роутер архитектурно отделён и не был затронут.

Недавнее финансирование Squid и заявления о безопасности

Squid недавно объявил о раунде стратегического финансирования на $6 млн под лидерством North Island Ventures при участии Ripple, Dialectic и Borderless.

В ходе обсуждений по поводу финансирования Fig сообщил The Block, что проект завершил на текущий момент девять независимых аудитов безопасности, не зафиксировал эксплойтов и поддерживает безотказную работу на 99,99%. Отвечая на вопрос, рассматривает ли Squid возможность обслуживать проекты, пересматривающие свою кроссчейн-инфраструктуру после проблем безопасности в других сегментах рынка, Fig сказал, что платформа открыта к разговорам с командами, которым нужна надёжная связность.

Потери в секторе DeFi в 2026 году

Кроссчейн-совместимость остаётся одной из самых сложных областей в криптовалюте: в отрасли на протяжении лет происходили многочисленные эксплойты мостов и инциденты безопасности. Панель данных The Block показывает, что DeFi зафиксировал в 2026 году потери более чем на $770 млн: в одном лишь апреле был установлен рекорд — примерно 30 инцидентов и более $630 млн выведенных средств.