Odaily Planet Daily rapporte que Squid a publié sur X que cet événement n'est pas lié au protocole ni aux contrats principaux de Squid ; tous les utilisateurs et intégrateurs de Squid sont inchangés et n'ont aucune action à entreprendre.
Aujourd'hui, un module tiers Gnosis Safe sur les réseaux Base et Ethereum a été attaqué, entraînant une perte d'environ 3,2 millions de dollars. Le contrat vulnérable, vérifié sur Basescan sous le nom « SquidRouterModule », n'a pas été construit, déployé ou exploité par Squid ; il s'agit d'un produit de portefeuille intelligent tiers qui choisit d'intégrer Squid et d'autres protocoles, sans aucun lien avec Squid.
Le principe de l'attaque réside dans le fait que ce module tiers accepte une chaîne constante fournie par l'appelant comme preuve de sécurité du message, chaîne qui est publiquement visible dans le code du contrat vérifié. Une fois que l'attaquant saisit cette chaîne, il peut exécuter n'importe quel tableau calldata et voler librement des fonds. Le portefeuille Safe de la victime a ajouté ce contrat problématique en tant que module Safe de confiance, permettant à ce contrat de contrôler n'importe quel token du Safe sans signature. Le contrat de routage propre à Squid (0xce16...D666) présente une architecture différente et n'est pas affecté ; les fonds, autorisations et intégrations des utilisateurs Squid sont entièrement sécurisés.
Des rapports initiaux ont mentionné le nom du contrat sur Basescan comme « SquidRouter », mais la formulation exacte est la suivante : le contrat SquidRouterModule tiers a été attaqué, et non le contrat Router de Squid. Ce nom de contrat est similaire à celui de Squid, mais il ne fait pas partie du code Squid. Squid surveille en continu la situation et mettra à jour les informations en cas de changements majeurs.