Odaily Planet Daily informa que Squid publicó en la plataforma X que este evento no está relacionado con el protocolo ni los contratos principales de Squid; todos los usuarios e integradores de Squid no han sido afectados y no necesitan tomar ninguna acción.
Hoy, un módulo de Gnosis Safe de terceros en las redes Base y Ethereum fue atacado, con una pérdida de aproximadamente 3.2 millones de dólares. El contrato vulnerable, verificado en Basescan con el nombre "SquidRouterModule", no fue construido, desplegado ni operado por Squid, sino que forma parte de un producto de billetera inteligente de terceros que optó por integrar Squid y otros protocolos, sin ninguna relación con Squid.
El principio del ataque consiste en que el módulo de terceros acepta una cadena constante proporcionada por el llamador como prueba de seguridad del mensaje; esta cadena es visible públicamente en el código del contrato verificado. Tras ingresarla, el atacante puede ejecutar cualquier arreglo calldata y robar fondos arbitrariamente. La billetera Safe de la víctima agregó este contrato vulnerable como Módulo Safe de confianza, lo que permite que el contrato controle cualquier token dentro del Safe sin necesidad de firma. El contrato de ruta propio de Squid (0xce16...D666) tiene una arquitectura diferente y no se ve afectado; los fondos, autorizaciones e integraciones de los usuarios de Squid son completamente seguros.
Informes iniciales publicados mencionaron incorrectamente el nombre del contrato en Basescan como "SquidRouter"; la descripción precisa es: se produjo un ataque al módulo externo SquidRouterModule, no al contrato Router de Squid. Aunque el nombre del contrato coincide con el de Squid, no forma parte del código de Squid. Squid está monitoreando continuamente la situación y actualizará la información en caso de cambios importantes.