Squid дистанцировался от взлома стороннего модуля стоимостью 3,2 миллиона долларов

Оглавление Эксплойт стороннего модуля украл около 3,2 миллиона долларов из 86 кошельков Gnosis Safe в Ethereum и Base. Squid пояснил, что не играет никакой роли в уязвимом контракте, и дистанцировался от инцидента. Охранные фирмы Blockaid и PeckShield подтвердили, что атака произошла примерно через два часа. Скомпрометированный контракт появился на Basescan под названием SquidRouterModule. Однако Squid заявил, что модуль не связан с его основной инфраструктурой. Соучредитель Squid Фиг обратился к этой проблеме в публичном сообщении на X. Он сказал: «Контракт под названием SquidRouterModule не имеет отношения к Squid». В проекте пояснили, что его основной маршрутизатор остался отдельным и не пострадал. Он добавил, что команде не было известно, кто применил контракт. Официальный аккаунт Squid также исправил ранние сообщения о связи эксплойта с его системой. В нем говорилось, что модуль имеет только общее имя и не имеет прямого соединения. Команда подчеркнула, что продукт был создан третьей стороной. В нем говорится, что модуль интегрирован с несколькими протоколами без предварительного согласования. Squid подтвердил, что не имел никаких контактов с разработчиками по контракту. Представители проекта утверждали, что его системы оставались в безопасности на протяжении всего мероприятия. По мнению следователей, модуль принял строку, предоставленную вызывающим абонентом, в качестве доказательства безопасности сообщения. Эта уязвимость позволила злоумышленникам обойти проверку подписи. После проверки злоумышленники выполнили произвольные данные вызова из затронутых сейфов. Это позволило несанкционированную передачу токенов без одобрения владельца. В Blockaid сообщили, что злоумышленник использовал контракты на эксплойты на основе Foundry. Эти контракты олицетворяли уполномоченных делегатов через функцию DelegateBundler модуля. Злоумышленник направил украденные активы через пулы Uniswap V3. Они обменяли токены на бесполезный актив с надписью «u». После свопов злоумышленник удалил ликвидность из этих пулов. Затем они консолидировали средства примерно в 3,07 миллиона долларов в DAI. PeckShield подтвердил, что средства теперь находятся в кошельке, начиная с «0xa447…54859». Фирма также отследила первоначальное финансирование в размере 2,1 ETH от Tornado Cash. Этот инцидент не связан с основным протоколом и контрактами Squid. Это не повлияет на всех пользователей и интеграторов Squid, и никаких действий не требуется. Сегодня в Base и Ethereum был использован сторонний модуль Gnosis Safe, что привело к убыткам примерно в 3,2 миллиона долларов. Уязвимые… https://t.co/I3gGmdBvE9 — squid (@squidrouter) 25 мая 2026 г. Этот инцидент усугубляет растущие потери криптовалюты в 2026 году. В этом году платформы DeFi зафиксировали общие убытки на сумму более 770 миллионов долларов. Только в апреле произошло около 30 отдельных инцидентов. В результате этих событий из различных протоколов было украдено более 630 миллионов долларов. Squid недавно привлек $6 млн в рамках раунда финансирования, проводимого North Island Ventures. Также приняли участие Ripple, Dialectic и Borderless. В проекте заявлено, что было проведено девять независимых аудитов. Он также сообщил о времени безотказной работы 99,99% без каких-либо ранее инцидентов с эксплойтами.