Mensagem do BlockBeats, em 25 de maio, o protocolo cross-chain Squid publicou uma resposta ao incidente de segurança, afirmando que o ataque não ocorreu no protocolo principal ou no contrato Router da Squid, mas sim em um módulo terceirizado chamado «SquidRouterModule», que apresentava uma vulnerabilidade grave, resultando no roubo de aproximadamente US$ 3,2 milhões em ativos na Base e na Ethereum.
Squid afirmou que o módulo não foi desenvolvido, implantado ou operado oficialmente, sendo apenas um produto de carteira inteligente de terceiros que integrou a funcionalidade Squid. Atacantes podem contornar a validação passando uma string pública e executar chamadas arbitrárias para roubar fundos. As carteiras afetadas já haviam definido esse módulo como Safe Module confiável, permitindo a transferência de ativos sem necessidade de assinatura.
Squid enfatiza que seu contrato oficial de Router, fundos dos usuários, autorizações e integrações não foram afetados, não sendo necessário realizar nenhuma ação adicional.