Squid se distancia del hack de módulo de terceros de 3,2 millones de dólares

Un exploit de módulo de terceros drenó alrededor de $3,2 millones de 86 billeteras Gnosis Safe en Ethereum y Base. Squid aclaró que no tenía ningún papel en el contrato vulnerable y se distanció del incidente. Las empresas de seguridad Blockaid y PeckShield confirmaron que el ataque se desarrolló en aproximadamente dos horas. El contrato comprometido apareció en Basescan con el nombre de SquidRouterModule. Sin embargo, Squid afirmó que el módulo no estaba relacionado con su infraestructura central. El cofundador de Squid, Fig, abordó el tema en una publicación pública en X. Dijo: "El contrato llamado SquidRouterModule no está relacionado con Squid". El proyecto explicó que su enrutador central permaneció separado y no se vio afectado. Agregó que el equipo no tenía conocimiento de quién implementó el contrato. La cuenta oficial de Squid también corrigió los primeros informes que vinculaban el exploit con su sistema. Declaró que el módulo solo compartía el nombre y no tenía conexión directa. El equipo enfatizó que el producto fue construido por un tercero. Dijo que el módulo se integraba con varios protocolos sin coordinación previa. Squid confirmó que no tuvo contacto con los desarrolladores detrás del contrato. El proyecto sostuvo que sus sistemas permanecieron seguros durante todo el evento. Según los investigadores, el módulo aceptó una cadena proporcionada por la persona que llama como prueba de seguridad del mensaje. Esta falla permitió a los atacantes eludir la verificación de firmas. Una vez validados, los atacantes ejecutaron datos de llamadas arbitrarios desde las cajas fuertes afectadas. Esto permitió transferencias no autorizadas de tokens sin la aprobación del propietario. Blockaid informó que el atacante utilizó contratos de explotación basados ​​en Foundry. Estos contratos se hicieron pasar por delegados autorizados a través de la función DelegateBundler del módulo. El atacante enruta los activos robados a través de grupos de Uniswap V3. Intercambiaron tokens por un activo sin valor denominado "u". Después de los intercambios, el atacante eliminó liquidez de esos fondos. Luego consolidaron los fondos en aproximadamente $3,07 millones en DAI. PeckShield confirmó que los fondos ahora se encuentran en una billetera que comienza con "0xa447...54859". La empresa también rastreó la financiación inicial de 2,1 ETH hasta Tornado Cash. Este incidente no está relacionado con el protocolo ni los contratos principales de Squid. Todos los usuarios e integradores de Squid no se ven afectados y no es necesario realizar ninguna acción. Hoy se explotó un módulo Gnosis Safe de terceros en Base y Ethereum, lo que provocó aproximadamente 3,2 millones de dólares en pérdidas. Los vulnerables… https://t.co/I3gGmdBvE9 — squid (@squidrouter) 25 de mayo de 2026 El incidente se suma a las crecientes pérdidas de criptomonedas en 2026. Las plataformas DeFi han registrado más de 770 millones de dólares en pérdidas totales este año. Sólo en abril se produjeron alrededor de 30 incidentes distintos. Estos acontecimientos dieron lugar a que se drenaran más de 630 millones de dólares de diversos protocolos. Squid recaudó recientemente 6 millones de dólares en una ronda de financiación liderada por North Island Ventures. También participaron Ripple, Dialectic y Borderless. El proyecto afirmó que ha completado nueve auditorías independientes. También informó un tiempo de actividad del 99,99 % sin incidentes de explotación previos.