Odaily Planet Daily melaporkan bahwa Squid mengunggah di platform X bahwa insiden ini tidak terkait dengan protokol dan kontrak inti Squid; semua pengguna dan pihak terintegrasi Squid tidak terdampak dan tidak perlu mengambil tindakan apa pun.
Hari ini, modul Gnosis Safe pihak ketiga di jaringan Base dan Ethereum diserang, menyebabkan kerugian sekitar $3,2 juta. Kontrak kerentanan ini memiliki nama verifikasi di Basescan sebagai "SquidRouterModule", tetapi kontrak ini tidak dibangun, dideploy, atau dioperasikan oleh Squid, melainkan merupakan produk dompet pintar pihak ketiga yang memilih untuk mengintegrasikan Squid dan protokol lainnya, serta tidak terkait dengan Squid.
Prinsip serangan adalah modul pihak ketiga menerima string konstan yang disediakan oleh pemanggil sebagai bukti keamanan pesan, string tersebut terlihat secara publik dalam kode kontrak yang telah diverifikasi; setelah penyerang memasukkannya, mereka dapat mengeksekusi array calldata apa pun untuk mencuri dana secara sembarangan. Dompet Safe korban menambahkan kontrak bermasalah ini sebagai Safe Module yang dipercaya, sehingga kontrak tersebut dapat mengendalikan semua token dalam Safe tanpa memerlukan tanda tangan. Kontrak rute milik Squid (0xce16...D666) memiliki arsitektur berbeda dan tidak terdampak; dana, otorisasi, serta integrasi pengguna Squid sepenuhnya aman.
Laporan awal sebelumnya menyebutkan nama kontrak di Basescan sebagai "SquidRouter", namun pernyataan yang akurat adalah: kontrak SquidRouterModule pihak ketiga diserang, bukan kontrak Router Squid. Nama kontrak ini sama dengan Squid, tetapi bukan kode Squid. Squid terus memantau perkembangan situasi dan akan memperbarui informasi jika ada perubahan signifikan.