- Los hackers robaron aproximadamente $3 millones de 86 Gnosis Safes en SquidRouterModule.
- Solo se dirigieron a los monederos que previamente aprobaron un módulo de terceros vulnerable.
- Los contratos principales del enrutador de Squid y los fondos de los usuarios nunca se vieron afectados por la explotación.
Según informes de Blockaid, los hackers explotaron un módulo de terceros SquidRouterModule vinculado al ecosistema Squid.
En su última publicación en X, la plataforma de seguridad Web3 de nivel empresarial afirmó que los atacantes vaciaron aproximadamente $3 millones en unas dos horas de 86 Gnosis Safes antes de intercambiar los tokens por DAI a través de los pools de Uniswap V3 que controlan.
¿Qué hizo posible la explotación?
Al proporcionar más detalles sobre el ataque, Blockaid señaló que el ataque fue posible porque los monederos afectados habían aprobado previamente un módulo de terceros vulnerable con permisos amplios de transacción. Esto permitió al atacante hacerse pasar por un usuario de confianza mientras llevaba a cabo intercambios falsos de Uniswap V3 sin necesidad de aprobación directa de los propietarios del monedero.
En un hilo en X, Blockaid explicó que los atacantes financiaron su monedero con 2,1 ETH a través de Tornado Cash antes de lanzar el ataque, tras lo cual ejecutaron ataques automatizados en las redes Ethereum y Base. El siguiente paso del hacker fue retirar la liquidez de las piscinas, convirtiendo los activos robados en aproximadamente 3,07 DAI, que se encontraban en su monedero en el momento del informe de Blockaid.
Relacionado: La brecha de seguros DeFi deja miles de millones expuestos mientras los hackeos siguen aumentando
La infraestructura principal de Gnosis es segura
Es importante destacar que el ataque reportado no afectó la infraestructura principal de Safe de Gnosis. La información proveniente de Squid y múltiples firmas de seguridad blockchain revela que la vulnerabilidad se encontraba en un módulo de terceros separado integrado en algunos monederos Safe. Solo los usuarios que confiaron e interactuaron previamente con ese módulo fueron afectados por la explotación.
Según el anuncio de Squid sobre el exploit, su equipo principal no tuvo ninguna participación en el desarrollo, despliegue u operación del contrato vulnerable, a pesar de compartir un nombre similar. La empresa explicó que el exploit fue posible porque el módulo aceptaba una cadena constante de conocimiento público como prueba de autorización, permitiendo a los hackers ejecutar transacciones arbitrarias sin firmas válidas del monedero.
Mientras tanto, Squid informó a sus miembros de la comunidad que está monitoreando la situación y compartirá actualizaciones si ocurre algún cambio material. La empresa también confirmó que sus contratos principales de enrutador y los fondos de los usuarios nunca se vieron afectados por la explotación.
Relacionado: El hackeo de Echo Protocol drena $816K tras la acuñación falsa de eBTC
Descargo de responsabilidad: La información presentada en este artículo es únicamente para fines informativos y educativos. El artículo no constituye asesoramiento financiero ni de ningún otro tipo. Coin Edition no se hace responsable de ninguna pérdida derivada del uso del contenido, productos o servicios mencionados. Se aconseja a los lectores que ejerzan cautela antes de tomar cualquier acción relacionada con la empresa.