- Hackers roubaram aproximadamente US$ 3 milhões de 86 Gnosis Safes no SquidRouterModule.
- Apenas carteiras que anteriormente aprovaram um módulo de terceiros vulnerável foram alvo.
- Os contratos principais de roteador do Squid e os fundos dos usuários nunca foram afetados pela exploração.
De acordo com relatos da Blockaid, hackers exploraram um módulo de terceiros vulnerável chamado SquidRouterModule relacionado ao ecossistema Squid.
Em sua última postagem no X, a plataforma de segurança Web3 de nível empresarial afirmou que os atacantes esvaziaram aproximadamente US$ 3 milhões em cerca de duas horas de 86 Gnosis Safes antes de trocar os tokens por DAI por meio das pools da Uniswap V3 que controlam.
O que tornou o exploit possível?
Ao fornecer mais detalhes sobre o ataque, a Blockaid observou que o ataque foi possível porque as carteiras afetadas haviam anteriormente aprovado um módulo de terceiros vulnerável com permissões amplas de transação. Isso permitiu que o atacante se disfarçasse como um usuário confiável enquanto realizava trocas falsas do Uniswap V3 sem precisar de aprovação direta dos proprietários das carteiras.
Em um tópico no X, a Blockaid explicou que os atacantes financiaram sua carteira com 2,1 ETH por meio do Tornado Cash antes de lançar o ataque, após o qual executaram ataques automatizados nas redes Ethereum e Base. O próximo passo do hacker foi remover a liquidez das pools, convertendo os ativos roubados em cerca de 3,07 DAI, que estavam em sua carteira no momento do relatório da Blockaid.
Relacionado: Deficiência de seguro DeFi expõe bilhões enquanto ataques continuam aumentando
A infraestrutura principal da Gnosis é segura
É importante observar que o ataque relatado não afetou a infraestrutura principal do Safe da Gnosis. Informações da Squid e de várias empresas de segurança blockchain revelam que a vulnerabilidade estava em um módulo de terceiros separado integrado em algumas carteiras Safe. Apenas usuários que confiaram e interagiram com esse módulo no passado foram afetados pela exploração.
De acordo com o anúncio do Squid sobre a exploração, sua equipe principal não teve envolvimento na construção, implantação ou operação do contrato vulnerável, apesar de compartilhar um nome semelhante. A empresa explicou que a exploração foi possível porque o módulo aceitava uma string constante publicamente conhecida como prova de autorização, permitindo que hackers executassem transações arbitrárias sem assinaturas válidas de carteira.
Enquanto isso, a Squid informou seus membros da comunidade que está monitorando a situação e compartilhará atualizações se houver alguma alteração material. A empresa também confirmou que seus contratos principais de roteamento e os fundos dos usuários nunca foram afetados pela exploração.
Relacionado: Ataque ao Echo Protocol drena US$816 mil após cunhagem falsa de eBTC
Disclaimer: As informações apresentadas neste artigo são apenas para fins informativos e educacionais. O artigo não constitui aconselhamento financeiro ou qualquer outro tipo de aconselhamento. A Coin Edition não se responsabiliza por quaisquer perdas decorrentes do uso do conteúdo, produtos ou serviços mencionados. Recomenda-se aos leitores que exerçam cautela antes de tomar qualquer ação relacionada à empresa.