Una vulnerabilidad en algo llamado SquidRouterModule permitió a un atacante desviar aproximadamente $3.2 millones de 86 monederos Gnosis Safe distribuidos en Ethereum y Base. El robo completo duró aproximadamente dos horas.
La empresa de seguridad blockchain Blockaid identificó la brecha el 25 de mayo. Los fondos robados fueron intercambiados rápidamente por DAI a través de los pools de Uniswap V3 que el atacante había abierto, consolidando aproximadamente $3,07 millones en un solo monedero.
Lo que pasa es que el módulo explotado ni siquiera formaba parte del protocolo principal de Squid. Era un complemento de terceros, lo que hace que toda la situación sea al mismo tiempo menos sorprendente y más alarmante.
Cómo funcionó el exploit
El problema, según tanto Blockaid como PeckShield, fue la validación incorrecta de identidad dentro del módulo. El módulo no verificó adecuadamente quién lo estaba llamando realmente. El atacante inyectó cadenas proporcionadas por el llamante para suplantar a usuarios autorizados, engañando efectivamente al módulo para que ejecutara transacciones sin el consentimiento de los propietarios del monedero.
Los activos suplantados involucrados en el ataque incluyeron USDC, ENA y USDT. Una vez agotados, todo fue redirigido a través de Uniswap V3 y convertido a DAI.
El monedero del atacante, identificado como 0xa447…54859, ahora contiene los ingresos consolidados. La financiación inicial del atacante provino de Tornado Cash.
Squid actuó rápidamente para distanciarse del incidente, aclarando que SquidRouterModule es completamente independiente de su protocolo y contratos principales. La empresa aseguró a los usuarios que sus operaciones principales permanecen seguras.
Un patrón familiar en la seguridad de DeFi
Los módulos de terceros que permiten transacciones no autorizadas sin el consentimiento del propietario han sido un vector de riesgo conocido desde al menos 2020. La arquitectura modular que hace a los monederos Gnosis Safe potentes es la misma arquitectura que crea una superficie de ataque.
El SquidRouterModule fue verificado en Basescan, lo que le otorga una apariencia de legitimidad. Pero la verificación en un explorador de bloques simplemente significa que el código fuente es legible públicamente. No implica que el código haya sido auditado, probado en condiciones reales o que esté libre de fallas críticas.
La ventana de dos horas entre el inicio del drenaje y la consolidación destaca lo rápido que pueden moverse los fondos en DeFi una vez que se encuentra una vulnerabilidad. Para cuando Blockaid detectó la actividad, el atacante ya había completado la operación y depositado los ingresos en DAI.
Qué significa esto para los inversores
La preocupación inmediata es sencilla: si tienes un monedero Gnosis Safe con el módulo SquidRouterModule habilitado, debes revocar sus permisos inmediatamente. Cualquier monedero que haya otorgado acceso a este módulo está potencialmente en riesgo, independientemente de si fue objetivo de este ataque específico.
El uso de Tornado Cash para la financiación inicial y los pools de Uniswap V3 para el lavado también plantea preguntas continuas sobre la capacidad del ecosistema DeFi para responder a explotaciones en tiempo real. Una vez que los fondos llegan a un servicio de mezcla, la recuperación se vuelve exponencialmente más difícil, y la consolidación del atacante en DAI significa que esos fondos pueden ser reutilizados o transferidos con relativa facilidad.
El protocolo principal de Squid podría no verse afectado, pero la empresa ahora enfrenta el desafío de explicar por qué un módulo que lleva su nombre, aunque desarrollado de forma independiente, se convirtió en el vector de un robo de millones de dólares.