Експлойт модуля сторонньої сторони виводить $3,2 млн із сейфів Gnosis

Вступ

Третя сторона модуль Gnosis Safe, використаний уразливим шляхом через Ethereum і Base, приблизно за дві години вивів близько 3,2 мільйона доларів із 86 Safe. Таку оцінку навели безпекові компанії Blockaid і PeckShield. Уразливий контракт, перевірений на Basescan під назвою "SquidRouterModule", не був створений, розгорнутий чи керувався кросчейн-протоколом Squid. Співзасновник Squid Fig уточнив у X: "Контракт, який називається SquidRouterModule, не має стосунку до Squid. Ми ще не знаємо, хто його написав або розгорнув". Експлойт спрацював, тому що модуль приймав рядок-константу, наданий викликачем, як доказ того, що повідомлення безпечне, дозволяючи атакувальникам виконувати довільний calldata і витрачати токени, що зберігалися в Safe потерпілих, без підписів. Цей інцидент відображає триваючі вразливості безпеки в секторі DeFi: у 2026 році він уже зафіксував понад 770 мільйонів доларів збитків — лише у квітні було приблизно 30 інцидентів і виведено понад 630 мільйонів доларів.

Механіка експлойту

Уразливий SquidRouterModule приймав рядок-константу, наданий викликачем, як криптографічний доказ того, що повідомлення є безпечним. Передавши цей рядок, атакувальник міг виконати довільний calldata та отримати доступ до будь-яких токенів, які зберігалися в Safe жертви, без потреби в дійсних підписах.

Згідно з офіційною заявою Squid, основний роутер контракту був архітектурно відокремлений і не був змінений експлойтом, а проєкт наголосив, що ранні публічні повідомлення з посиланням на "SquidRouter" технічно неточні. Контракт має назву Squid, але це сторонній продукт, який обрав інтегруватися з Squid поряд із іншими протоколами, і не мав контактів із командою.

Метод атакувальника та слід коштів

Атакувальник розгорнув експлойт-контракти на основі Foundry, які викликали шлях DelegateBundler модуля, видаючи себе за авторизованих делегатів у кожному Safe та запускаючи довільні свопи через пули Uniswap V3, повідомляє Blockaid.

Цільові активи обмінювалися через пули Uniswap V3, ініційовані атакувальником, на безцінний токен, створений атакувальником, під назвою "u". Далі атакувальник вилучив ліквідність із пулів і зконсолідував отримане приблизно в 3,07 мільйона DAI, які тепер зберігаються у гаманці, що починається з "0xa447...54859", за даними PeckShield.

PeckShield визначив, що початкове фінансування експлойтера у розмірі 2,1 ETH надійшло з Tornado Cash.

Реакція Squid

Squid заявив, що контракт, хоча й має назву Squid, є стороннім продуктом, не пов’язаним із протоколом. У заяві Fig підкреслено відсутність участі проєкту: "Ми ще не знаємо, хто його написав або розгорнув". Офіційна X-сторінка Squid також додала, що його основний роутер архітектурно відокремлений і не зазнав змін.

Нещодавнє фінансування Squid і заяви про безпеку

Нещодавно Squid оголосив раунд стратегічного фінансування на 6 мільйонів доларів під проводом North Island Ventures за участі Ripple, Dialectic і Borderless.

Під час обговорень щодо фінансування Fig розповів The Block, що проєкт на сьогодні завершив дев’ять незалежних аудитів безпеки, не зафіксував жодних експлойтів і підтримує 99,99% безперервної доступності. На запитання, чи Squid прагне обслуговувати проєкти, які переоцінюють свою інфраструктуру кросчейну після проблем із безпекою в інших частинах ринку, Fig сказав, що платформа відкрита до розмов із командами, які шукають безпечне підключення.

Збитки сектору DeFi у 2026 році

Кросчейн-інтероперабельність залишається однією з найскладніших сфер у крипті — протягом років сектор зазнав численних експлойтів мостів і інцидентів із безпекою. Дашборд даних The Block показує, що DeFi зафіксував понад 770 мільйонів доларів збитків у 2026 році, а лише у квітні було встановлено рекорд: приблизно 30 інцидентів і понад 630 мільйонів доларів виведено.