Mensaje de BlockBeats, el 25 de mayo, el protocolo cross-chain Squid publicó una respuesta al incidente de seguridad indicando que el ataque no ocurrió en el protocolo principal de Squid ni en el contrato Router, sino que un módulo de Gnosis Safe de terceros llamado «SquidRouterModule» tenía una vulnerabilidad grave, lo que provocó el robo de aproximadamente 3,2 millones de dólares en activos en Base y Ethereum.
Squid indicó que este módulo no fue desarrollado, desplegado ni operado oficialmente, sino que solo integra funciones de Squid como producto de billetera inteligente de terceros. Los atacantes pueden omitir la validación mediante la entrada de una cadena pública y ejecutar llamadas arbitrarias para robar fondos. Las billeteras afectadas ya habían configurado previamente este módulo como Módulo Seguro de confianza, por lo que no se requiere firma para transferir activos.
Squid enfatiza que su contrato Router oficial, los fondos de los usuarios, los permisos y las integraciones no se han visto afectados, y no se requiere ninguna acción adicional.