Uma falha em algo chamado SquidRouterModule permitiu a um atacante desviar aproximadamente US$ 3,2 milhões de 86 carteiras Gnosis Safe distribuídas entre Ethereum e Base. O roubo inteiro levou cerca de duas horas.
A empresa de segurança blockchain Blockaid identificou a violação em 25 de maio. Os fundos roubados foram rapidamente trocados por DAI por meio das pools da Uniswap V3 abertas pelo atacante, consolidando aproximadamente US$ 3,07 milhões em uma única carteira.
A questão é que o módulo explorado nem sequer fazia parte do protocolo Squid principal. Era um complemento de terceiros, o que torna toda a situação ao mesmo tempo menos surpreendente e mais alarmante.
Como a exploração funcionou
O problema, segundo tanto o Blockaid quanto o PeckShield, foi a validação inadequada de identidade dentro do módulo. O módulo não verificou corretamente quem estava realmente chamando-o. O atacante injetou strings fornecidas pelo chamador para se passar por usuários autorizados, enganando efetivamente o módulo para executar transações sem o consentimento dos proprietários da carteira.
Os ativos imitados envolvidos no ataque incluíam USDC, ENA e USDT. Após serem esvaziados, tudo foi encaminhado através do Uniswap V3 e convertido para DAI.
A carteira do atacante, identificada como 0xa447…54859, agora detém os proventos consolidados. O financiamento inicial do atacante veio do Tornado Cash.
Squid agiu rapidamente para se distanciar do incidente, esclarecendo que o SquidRouterModule é completamente independente de seu protocolo e contratos principais. A empresa garantiu aos usuários que suas operações principais permanecem seguras.
Um padrão familiar na segurança DeFi
Módulos de terceiros que permitem transações não autorizadas sem o consentimento do proprietário são um vetor de risco conhecido desde pelo menos 2020. A arquitetura modular que torna as carteiras Gnosis Safe poderosas é a mesma arquitetura que cria superfície de ataque.
O SquidRouterModule foi verificado no Basescan, o que lhe confere uma aparência de legitimidade. Mas a verificação em um explorador de blocos simplesmente significa que o código-fonte é publicamente legível. Isso não significa que o código foi auditado, testado em condições reais ou está livre de falhas críticas.
A janela de duas horas entre o início do esvaziamento e a consolidação destaca quão rapidamente os fundos podem se mover no DeFi assim que uma vulnerabilidade é encontrada. Quando o Blockaid sinalizou a atividade, o atacante já havia concluído a operação e estacionado os proventos em DAI.
O que isso significa para os investidores
A preocupação imediata é simples: se você possui uma carteira Gnosis Safe com o SquidRouterModule ativado, deve revogar imediatamente suas permissões. Qualquer carteira que tenha concedido acesso a este módulo está potencialmente em risco, independentemente de ter sido alvo deste ataque específico.
O uso do Tornado Cash para financiamento inicial e das pools do Uniswap V3 para lavagem também levanta questões contínuas sobre a capacidade do ecossistema DeFi de responder a explorações em tempo real. Uma vez que os fundos atingem um serviço de mistura, a recuperação torna-se exponencialmente mais difícil, e a consolidação do atacante em DAI significa que esses proventos podem ser redeslocados ou transferidos com facilidade relativa.
O protocolo principal do Squid pode não ter sido afetado, mas a empresa agora enfrenta o desafio de explicar por que um módulo com seu nome, mesmo que desenvolvido independentemente, se tornou o vetor para um roubo de milhões de dólares.