A Squid agiu rapidamente para destacar que a recente exploração de US$ 3 milhões tinha como alvo um módulo Gnosis Safe de terceiros chamado SquidRouterModule, em vez do contrato principal de roteamento entre cadeias, depois que 86 carteiras no Ethereum e no Base foram esgotadas em menos de duas horas.
resumo
Exploração ativa sinalizada pelo Blockaid no SquidRouterModule afetando 86 cofres Gnosis Aproximadamente US$ 3 milhões a US$ 3,2 milhões foram roubados e trocados por DAI via Uniswap A vulnerabilidade era uma verificação de “segurança de mensagem” de string fixa que foi reutilizada pelos invasores Squid diz que o contrato principal do roteador 0xce16F e os fundos do usuário não são afetados
De acordo com a empresa de segurança Blockaid, o foco do ataque foi um módulo Gnosis Safe implantado no Ethereum e no Base chamado SquidRouterModule, que foi usado por alguns proprietários de multisig para rotear transações entre cadeias envolvendo Squid e outros protocolos.
A Blockaid relata que os invasores desviaram fundos de 86 carteiras Gnosis Safe durante aproximadamente duas horas, totalizando perdas de aproximadamente US$ 3 milhões a US$ 3,2 milhões, e depois consolidaram os rendimentos em um único endereço contendo pouco mais de 3,07 milhões de DAI.
Em um resumo detalhado, a redação da KuCoin citou informações do Blockaid e do Squid e disse que os tokens roubados foram trocados por DAI por meio de um pool Uniswap V3 personalizado criado pelos invasores, agregando os fundos vazados em uma carteira para simplificar a lavagem.
O bug principal estava na lógica de “segurança de mensagens” do SquidRouterModule. A Binance Square relata que o módulo simplesmente aceitou uma string constante fornecida pelo chamador como prova de que a mensagem era válida. Isso significa que qualquer pessoa que possa ver o código do contrato pode copiar essa string e transmitir quaisquer dados da chamada.
CoinNess relata que os invasores exploraram essa validação pública de string fixa para fazer chamadas arbitrárias dos cofres afetados, dando-se efetivamente o poder de mover ativos para fora do multisig sem verificação do proprietário.
Como a exploração do SquidRouterModule usou 86 Gnosis Safes?
A nota do incidente da Binance explica sem rodeios que esse design “aceitava uma string fixa fornecida pelo chamador para segurança da mensagem”, e esse padrão eliminou a autenticação real e abriu um caminho direto para a exfiltração de fundos da carteira unificada.
Esta é uma classe de risco conhecida para os módulos Gnosis Safe, e pesquisas anteriores da OpenZeppelin mostraram que os módulos conectados podem realizar transações de carteiras sem a aprovação do proprietário se as verificações internas forem fracas ou mal configuradas.
Nesse caso, o módulo inseguro tinha o nome Squid, mas foi desenvolvido e implantado por um integrador terceirizado, e não pela equipe do Squid ou por seus principais mantenedores de protocolo.
Por que o Squid mantém os roteadores principais longe de hackers?
Em uma postagem oficial do X, Squid disse: “Este incidente não tem nada a ver com os principais protocolos ou contratos do Squid”, enfatizando que, embora os principais contratos de roteamento tenham sido identificados na cadeia, “nenhuma transação maliciosa foi envolvida”.
O artigo da KuCoin observa que o Squid revelou que o SquidRouterModule “não foi desenvolvido, implantado ou operado pela empresa; o nome foi escolhido independentemente por terceiros durante a integração com o Squid” e está completamente fora da arquitetura principal do roteador.
A equipe enfatizou ainda que os fundos dos usuários, as autorizações existentes e as integrações em nível de protocolo permanecem seguros e que “o roteamento central entre cadeias do Squid não é afetado” enquanto continua monitorando a situação e coordenando com as empresas de segurança.
No entanto, a ótica é ruim. Como aponta o artigo da KuCoin, as manchetes inevitavelmente combinam “Squid” e “hacking”, mesmo que o raio de explosão seja limitado ao desleixado módulo Safe. A única conexão real com o projeto é a marca e o uso do Squid como um dos vários roteadores integrados.
Pesquisadores de segurança há muito alertam que a funcionalidade do Gnosis Safe vem com a ressalva de que, se sua lógica apresentar falhas, os módulos conectados ao Safe podem realizar transações sem a confirmação do proprietário, e foi exatamente isso que aconteceu aqui se a verificação de string fixa for ignorada.
Para o ecossistema mais amplo de extensão de cadeia cruzada e carteira, o incidente SquidRouterModule é outro exemplo concreto de como a capacidade de composição e as suposições de segurança preguiçosas de módulos periféricos podem abrir superfícies de ataque completamente fora dos protocolos e da auditoria do próprio protocolo.
Isso também destaca uma realidade dolorosa para equipes de infraestrutura como o Squid, que Axelar descreve como “um protocolo que permite roteamento de liquidez entre cadeias e swaps por meio de um único SDK”. Mesmo que seus próprios contratos sejam sólidos, os wrappers de terceiros que negligenciam a higiene básica de segurança ainda podem arrastar sua marca para as manchetes devido a explorações.
