Exploração de módulo de terceiros drena US$ 3,2 milhões dos Safes da Gnosis

Abertura

Um módulo de terceiros do Gnosis Safe explorado em Ethereum e Base drenou aproximadamente US$ 3,2 milhões de 86 Safes em cerca de duas horas, segundo as empresas de segurança Blockaid e PeckShield. O contrato vulnerável, verificado no Basescan sob o nome "SquidRouterModule", não foi construído, implantado ou operado pelo protocolo de cross-chain Squid. O cofundador do Squid, Fig, esclareceu no X: "O contrato chamado SquidRouterModule não tem relação com Squid. Ainda não sabemos quem escreveu ou implantou isso." O exploit teve sucesso porque o módulo aceitou uma string constante fornecida pelo chamador como prova de que uma mensagem estava segura, permitindo que atacantes executassem qualquer calldata e gastassem tokens mantidos nos Safes das vítimas sem assinaturas. O incidente reflete vulnerabilidades de segurança contínuas no setor DeFi, que registrou mais de US$ 770 milhões em perdas em 2026, com abril sozinho registrando cerca de 30 incidentes e mais de US$ 630 milhões drenados.

Mecânica do Exploit

O vulnerável SquidRouterModule aceitou uma string constante fornecida pelo chamador como prova criptográfica de que uma mensagem estava segura. Ao passar essa string, um atacante poderia executar qualquer calldata e acessar quaisquer tokens mantidos nos Safes da vítima sem exigir assinaturas válidas.

De acordo com a declaração oficial do Squid, o roteador central do contrato era arquiteturalmente separado e não foi alterado pelo exploit, e o projeto enfatizou que o relato público inicial que fazia referência a "SquidRouter" era tecnicamente impreciso. O contrato compartilha o nome Squid, mas é um produto de terceiros que decidiu integrar com Squid entre outros protocolos e não tinha contato com a equipe.

Método do Atacante e Trilha dos Fundos

O atacante implantou contratos de exploit baseados em Foundry que chamaram a rota DelegateBundler do módulo, se passando por delegados autorizados em cada Safe e acionando swaps arbitrários via pools do Uniswap V3, segundo a Blockaid.

Os ativos-alvo foram trocados por meio de pools do Uniswap V3 semeados pelo atacante para um token inútil criado pelo próprio atacante chamado "u". Em seguida, o atacante removeu a liquidez dos pools e consolidou os rendimentos em aproximadamente 3,07 milhões de DAI, agora mantidos em uma carteira que começa com "0xa447...54859", segundo a PeckShield.

A PeckShield identificou que o financiamento inicial do explorador de 2,1 ETH veio de Tornado Cash.

Resposta do Squid

O Squid afirmou que o contrato, apesar de trazer o nome Squid, é um produto de terceiros sem relação com o protocolo. A declaração de Fig destacou a falta de envolvimento do projeto: "Ainda não sabemos quem escreveu ou implantou isso." A página oficial do Squid no X acrescentou que seu roteador central era arquiteturalmente separado e não foi tocado.

Rodada Recente de Financiamento e Alegações de Segurança do Squid

O Squid anunciou recentemente uma rodada estratégica de US$ 6 milhões liderada pela North Island Ventures, com participação da Ripple, Dialectic e Borderless.

Durante discussões sobre o financiamento, o Fig do Squid disse ao The Block que o projeto concluiu nove auditorias independentes de segurança até o momento, não registrou exploits e mantém 99,99% de uptime. Ao ser perguntado se o Squid está buscando atender projetos que estão reavaliando sua infraestrutura de cross-chain após problemas de segurança em outras partes do mercado, Fig disse que a plataforma está aberta a conversas com equipes que buscam conectividade segura.

Perdas do Setor DeFi em 2026

A interoperabilidade cross-chain continua sendo uma das áreas mais difíceis do cripto, com o setor apresentando múltiplos exploits de bridge e incidentes de segurança ao longo dos anos. O painel de dados do The Block mostra que o DeFi registrou mais de US$ 770 milhões em perdas em 2026, com abril, sozinho, estabelecendo um recorde de cerca de 30 incidentes e mais de US$ 630 milhões drenados.