Robo de 3,2 millones de dólares en wallets Gnosis Safe por un exploit en SquidRouterModule

Una vulnerabilidad en el módulo SquidRouterModule permitió a un atacante sustraer cerca de 3,2 millones de dólares de 86 wallets Gnosis Safe en Ethereum y Base. El ataque se ejecutó en unas dos horas. La firma de seguridad blockchain Blockaid detectó la brecha el 25 de mayo. Tras el drenaje, los fondos robados se intercambiaron rápidamente a DAI a través de pools de Uniswap V3 creados por el propio atacante, que concentró alrededor de 3,07 millones de dólares en una sola dirección. El incidente no afectó al núcleo del protocolo Squid: el componente explotado era un complemento de terceros, ajeno a los contratos principales, un matiz que no reduce el riesgo y vuelve el episodio especialmente inquietante. Cómo se produjo el exploit Según Blockaid y PeckShield, el fallo se originó en una validación de identidad deficiente dentro del módulo. SquidRouterModule no verificaba correctamente quién realizaba la llamada. El atacante inyectó cadenas controladas por el llamante para suplantar a usuarios autorizados, logrando que el módulo ejecutara transacciones sin el consentimiento de los propietarios. Los activos implicados en la suplantación incluyeron USDC, ENA y USDT. Después del vaciado, el flujo se canalizó por Uniswap V3 y se convirtió a DAI. La cartera del atacante, identificada como 0xa447…54859, mantiene ahora el botín consolidado. La financiación inicial del atacante procedió de Tornado Cash. Squid se desmarcó del suceso y recalcó que SquidRouterModule opera de forma independiente respecto a su protocolo y contratos principales. La compañía afirmó que su operativa principal sigue siendo segura. Un patrón recurrente en la seguridad DeFi Los módulos de terceros que habilitan transacciones no autorizadas llevan siendo un vector de riesgo conocido al menos desde 2020. La arquitectura modular que hace potentes a las wallets Gnosis Safe también amplía la superficie de ataque. SquidRouterModule estaba verificado en Basescan, lo que puede transmitir una apariencia de legitimidad. Esa verificación solo implica que el código fuente es legible públicamente; no equivale a una auditoría, ni garantiza que el software esté probado en combate o libre de fallos críticos. La ventana de dos horas entre el inicio del drenaje y la consolidación subraya la velocidad con la que se mueven los fondos en DeFi cuando aparece una vulnerabilidad. Para cuando Blockaid señaló la actividad, el atacante ya había completado la operación y aparcado los beneficios en DAI. Qué implica para los inversores La recomendación inmediata es clara: si se utiliza una wallet Gnosis Safe con SquidRouterModule habilitado, conviene revocar sus permisos de forma inmediata. Cualquier wallet que haya concedido acceso a este módulo queda potencialmente expuesta, haya sido o no objetivo en este ataque concreto. El uso de Tornado Cash para la financiación inicial y de pools de Uniswap V3 para el blanqueo vuelve a poner el foco en la capacidad del ecosistema DeFi para responder en tiempo real. Una vez que los fondos pasan por un servicio de mezcla, la recuperación se complica de forma drástica, y la consolidación en DAI facilita que el atacante pueda reutilizar o puentear los fondos con relativa facilidad. Aunque el núcleo de Squid no se haya visto comprometido, la empresa afronta ahora la presión de explicar por qué un módulo que lleva su nombre, aun siendo de desarrollo independiente, se convirtió en el vector de un robo multimillonario.