Squid se démarque du piratage de modules tiers de 3,2 millions de dollars

Table des matières Un exploit de module tiers a drainé environ 3,2 millions de dollars de 86 portefeuilles Gnosis Safe sur Ethereum et Base. Squid a précisé qu'il n'avait aucun rôle dans le contrat vulnérable et s'est distancé de l'incident. Les sociétés de sécurité Blockaid et PeckShield ont confirmé que l'attaque s'était déroulée en deux heures environ. Le contrat compromis est apparu sur Basescan sous le nom SquidRouterModule. Cependant, Squid a déclaré que le module n'avait aucun rapport avec son infrastructure de base. Le co-fondateur de Squid, Fig, a abordé le problème dans un article public sur X. Il a déclaré : « Le contrat appelé SquidRouterModule n'a aucun rapport avec Squid. » Le projet a expliqué que son routeur principal restait séparé et non affecté. Il a ajouté que l’équipe ne savait pas qui avait déployé le contrat. Le compte officiel de Squid a également corrigé les premiers rapports liant l'exploit à son système. Il a déclaré que le module partageait uniquement le nom et n'avait aucune connexion directe. L'équipe a souligné que le produit avait été construit par un tiers. Il a indiqué que le module était intégré à plusieurs protocoles sans coordination préalable. Squid a confirmé qu'il n'avait aucun contact avec les développeurs à l'origine du contrat. Le projet a maintenu que ses systèmes sont restés sécurisés tout au long de l'événement. Selon les enquêteurs, le module a accepté une chaîne fournie par l'appelant comme preuve de sécurité du message. Cette faille permettait aux attaquants de contourner la vérification de signature. Une fois validés, les attaquants ont exécuté des données d'appel arbitraires à partir des coffres-forts concernés. Cela a permis des transferts non autorisés de jetons sans l'approbation du propriétaire. Blockaid a signalé que l'attaquant avait utilisé des contrats d'exploitation basés sur Foundry. Ces contrats usurpaient l’identité de délégués autorisés via la fonction DelegateBundler du module. L'attaquant a acheminé les actifs volés via les pools Uniswap V3. Ils ont échangé leurs jetons contre un actif sans valeur intitulé « u ». Après les échanges, l’attaquant a supprimé les liquidités de ces pools. Ils ont ensuite regroupé les fonds en environ 3,07 millions de dollars en DAI. PeckShield a confirmé que les fonds se trouvent désormais dans un portefeuille commençant par « 0xa447…54859 ». La société a également retracé le financement initial de 2,1 ETH jusqu'à Tornado Cash. Cet incident n’a aucun rapport avec le protocole et les contrats de base de Squid. Tous les utilisateurs et intégrateurs Squid ne sont pas concernés et aucune action n’est nécessaire. Un module tiers Gnosis Safe a été exploité aujourd'hui sur Base et Ethereum, entraînant des pertes d'environ 3,2 millions de dollars. Les vulnérables… https://t.co/I3gGmdBvE9 — squid (@squidrouter) 25 mai 2026 L'incident s'ajoute aux pertes cryptographiques croissantes en 2026. Les plateformes DeFi ont enregistré plus de 770 millions de dollars de pertes totales cette année. Le seul mois d'avril a été marqué par une trentaine d'incidents distincts. Ces événements ont entraîné le retrait de plus de 630 millions de dollars de divers protocoles. Squid a récemment levé 6 millions de dollars lors d'un cycle de financement mené par North Island Ventures. Ripple, Dialectic et Borderless ont également participé. Le projet a déclaré avoir réalisé neuf audits indépendants. Il a également signalé une disponibilité de 99,99 % sans incident d'exploitation antérieur.