Une faille dans ce qu'on appelle le SquidRouterModule a permis à un attaquant de détourner environ 3,2 millions de dollars depuis 86 wallets Gnosis Safe répartis sur Ethereum et Base. L'ensemble du vol a duré environ deux heures.
L'entreprise de sécurité blockchain Blockaid a identifié la violation le 25 mai. Les fonds volés ont été rapidement échangés contre DAI via les pools Uniswap V3 ouverts par l'attaquant, regroupant environ 3,07 millions de dollars dans un seul wallet.
Voici la chose : le module exploité n’était même pas une partie du protocole Squid principal. Il s’agissait d’un module tiers, ce qui rend la situation à la fois moins surprenante et plus alarmante.
Comment l'exploitation a fonctionné
Le problème, selon Blockaid et PeckShield, était une validation d'identité incorrecte au sein du module. Le module ne vérifiait pas correctement qui l'appelait réellement. L'attaquant a injecté des chaînes fournies par l'appelant pour se faire passer pour des utilisateurs autorisés, trompant ainsi le module pour qu'il exécute des transactions sans le consentement des propriétaires du wallet.
Les actifs imités impliqués dans l'attaque incluaient USDC, ENA et USDT. Une fois vidés, tous les fonds ont été acheminés via Uniswap V3 et convertis en DAI.
Le wallet de l'attaquant, identifié comme 0xa447…54859, contient désormais les produits consolidés. Le financement initial de l'attaquant provenait de Tornado Cash.
Squid a rapidement pris ses distances par rapport à l'incident, en précisant que SquidRouterModule est complètement indépendant de son protocole et de ses contrats principaux. L'entreprise a assuré les utilisateurs que ses opérations principales restent sécurisées.
Un schéma familier en matière de sécurité DeFi
Les modules tiers permettant des transactions non autorisées sans le consentement du propriétaire sont un vecteur de risque connu depuis au moins 2020. L'architecture modulaire qui rend les wallets Gnosis Safe puissants est la même architecture qui crée une surface d'attaque.
Le SquidRouterModule a été vérifié sur Basescan, ce qui lui confère un air de légitimité. Mais la vérification sur un explorateur de blocs signifie simplement que le code source est lisible publiquement. Cela ne signifie pas que le code a été audité, testé en conditions réelles ou dépourvu de défauts critiques.
La fenêtre de deux heures entre le début du retrait et la consolidation met en évidence à quelle vitesse les fonds peuvent se déplacer dans la DeFi une fois qu'une vulnérabilité est découverte. Au moment où Blockaid a signalé l'activité, l'attaquant avait déjà terminé l'opération et placé les gains en DAI.
Ce que cela signifie pour les investisseurs
La préoccupation immédiate est simple : si vous possédez un wallet Gnosis Safe avec le module SquidRouterModule activé, vous devez révoquer immédiatement ses autorisations. Tout wallet ayant accordé cet accès au module est potentiellement à risque, qu'il ait ou non été ciblé dans cette attaque spécifique.
L'utilisation de Tornado Cash pour le financement initial et des pools Uniswap V3 pour le blanchiment soulève également des questions persistantes sur la capacité de l'écosystème DeFi à réagir en temps réel aux exploitations. Une fois les fonds transférés vers un service de mélange, la récupération devient exponentiellement plus difficile, et la consolidation de l'attaquant en DAI permet de réutiliser ou de transférer ces fonds avec une relative facilité.
Le protocole principal de Squid pourrait ne pas être affecté, mais l'entreprise fait désormais face au défi d'expliquer pourquoi un module portant son nom, même s'il a été développé indépendamment, est devenu le vecteur d'un vol de plusieurs millions de dollars.