Ouverture
Un module Gnosis Safe tiers exploité à travers Ethereum et Base a siphonné environ 3,2 millions de dollars depuis 86 Safes en à peine deux heures, selon les sociétés de sécurité Blockaid et PeckShield. Le contrat vulnérable, vérifié sur Basescan sous le nom « SquidRouterModule », n’a pas été construit, déployé ou opéré par le protocole cross-chain Squid. Le cofondateur de Squid, Fig, a précisé sur X : « Le contrat appelé SquidRouterModule n’est pas lié à Squid. Nous ne savons pas encore qui l’a écrit ou déployé. » L’exploit a réussi parce que le module acceptait une chaîne constante fournie par l’appelant comme preuve que le message était sécurisé, permettant aux attaquants d’exécuter n’importe quel calldata et de dépenser des jetons détenus dans les Safes des victimes sans signatures. Cet incident illustre des vulnérabilités de sécurité persistantes dans le secteur DeFi, qui a enregistré plus de 770 millions de dollars de pertes en 2026, avec rien qu’en avril environ 30 incidents et plus de 630 millions de dollars siphonnés.
Mécanique de l’exploit
Le SquidRouterModule vulnérable acceptait une chaîne constante fournie par l’appelant comme preuve cryptographique que le message était sécurisé. En passant cette chaîne, un attaquant pouvait exécuter n’importe quel calldata et accéder à tous les jetons détenus dans les Safes de la victime, sans exiger de signatures valides.
D’après la déclaration officielle de Squid, le routeur central du contrat était séparé sur le plan architectural et n’avait pas été modifié par l’exploit, et le projet a souligné que les premiers signalements publics faisant référence à « SquidRouter » étaient techniquement inexacts. Le contrat partage le nom Squid, mais il s’agit d’un produit tiers qui a choisi de s’intégrer à Squid parmi d’autres protocoles et qui n’avait aucun contact avec l’équipe.
Méthode de l’attaquant et trajectoire des fonds
L’attaquant a déployé des contrats d’exploit basés sur Foundry qui appelaient le chemin DelegateBundler du module, en se faisant passer pour des délégués autorisés sur chaque Safe et en déclenchant des échanges arbitraires via des pools Uniswap V3, selon Blockaid.
Les actifs ciblés ont été échangés via des pools Uniswap V3 ensemencés par l’attaquant contre un jeton sans valeur créé par l’attaquant appelé « u ». L’attaquant a ensuite retiré la liquidité des pools et a consolidé les produits en environ 3,07 millions de DAI, désormais détenus dans un portefeuille commençant par « 0xa447...54859 », selon PeckShield.
PeckShield a identifié que le financement initial du fraudeur de 2,1 ETH provenait de Tornado Cash.
Réponse de Squid
Squid a indiqué que le contrat, bien qu’il porte le nom Squid, est un produit tiers sans lien avec le protocole. La déclaration de Fig a souligné l’absence d’implication du projet : « Nous ne savons pas encore qui l’a écrit ou déployé. » La page X officielle de Squid a ajouté que son routeur central était séparé sur le plan architectural et resté intact.
Financement récent de Squid et allégations de sécurité
Squid a récemment annoncé une levée stratégique de 6 millions de dollars, menée par North Island Ventures, avec la participation de Ripple, Dialectic et Borderless.
Lors des discussions autour de ce financement, Fig de Squid a déclaré à The Block que le projet avait terminé à ce jour neuf audits de sécurité indépendants, n’a enregistré aucun exploit et maintient une disponibilité de 99,99%. À la question de savoir si Squid cherche à servir des projets qui réévaluent leur infrastructure cross-chain à la suite de problèmes de sécurité ailleurs sur le marché, Fig a répondu que la plateforme est ouverte aux échanges avec des équipes cherchant une connectivité sécurisée.
Pertes du secteur DeFi en 2026
L’interopérabilité cross-chain reste l’un des domaines les plus difficiles en crypto, le secteur ayant connu au fil des ans plusieurs exploits de ponts et incidents de sécurité. Le tableau de bord de données de The Block montre que DeFi a enregistré plus de 770 millions de dollars de pertes en 2026, avec en avril seulement un record d’environ 30 incidents et plus de 630 millions de dollars siphonnés.
