Odaily Planet Daily News: Squid publicou em X que este evento não está relacionado ao protocolo nem aos contratos centrais do Squid; todos os usuários e integradores do Squid permanecem inalterados e não precisam tomar nenhuma ação.
Hoje, um módulo de terceiros Gnosis Safe nas redes Base e Ethereum foi atacado, resultando em perdas de aproximadamente US$ 3,2 milhões. O contrato vulnerável, verificado no Basescan com o nome "SquidRouterModule", não foi construído, implantado nem operado pela Squid, mas sim por um produto de carteira inteligente de terceiros que optou por integrar a Squid e outros protocolos, sem qualquer ligação com a Squid.
O princípio do ataque é que o módulo de terceiros aceita uma string constante fornecida pelo chamador como prova de segurança da mensagem, sendo essa string visível publicamente no código do contrato verificado; após inserir essa string, o atacante pode executar qualquer array calldata e roubar fundos arbitrariamente. A carteira Safe da vítima adicionou esse contrato vulnerável como um Módulo Seguro confiável, permitindo que esse contrato controle quaisquer tokens dentro da Safe sem necessidade de assinatura. O contrato de roteamento próprio da Squid (0xce16...D666) possui arquitetura diferente e não foi afetado; os fundos, autorizações e integrações dos usuários da Squid estão totalmente seguros.
Relatos anteriores mencionaram o nome do contrato no Basescan como "SquidRouter", mas a afirmação correta é: o SquidRouterModule de terceiros foi atacado, e não o contrato Router do Squid. O nome desse contrato é semelhante ao do Squid, mas não faz parte do código do Squid. O Squid continua monitorando a situação e atualizará as informações caso haja mudanças significativas.