Una vulnerabilidad crítica en un módulo de Gnosis Safe de terceros llamado "SquidRouterModule" fue explotada el 25 de mayo, lo que permitió a un atacante drenar aproximadamente 3,2 millones de dólares en activos de 86 billeteras en las redes Ethereum y Base.
El incidente fue reportado por primera vez por la firma de seguridad blockchain Blockaid, que detectó el exploit en curso durante un período de dos horas. Según Blockaid, el atacante aprovechó una falla en la función executeSameChainActions() dentro del módulo. Esta vulnerabilidad permitió al atacante suplantar a delegados autorizados y ejecutar intercambios de tokens arbitrarios desde las billeteras de las víctimas sin requerir firmas adicionales.
Los activos robados, una mezcla de varios tokens, se intercambiaron a través de pools de Uniswap V3 controlados por el atacante y se consolidaron en aproximadamente 3,07 millones de dólares de la moneda estable DAI. El ataque resalta los crecientes riesgos de seguridad asociados con los módulos de terceros y los permisos delegados dentro del ecosistema de las finanzas descentralizadas (DeFi).
El protocolo de cadena cruzada Squid, cuyo nombre estaba asociado con el módulo vulnerable, se movió rápidamente para distanciar su protocolo principal del exploit. En un comunicado público, Squid aclaró que el "SquidRouterModule" era un producto de billetera inteligente de terceros que se integraba con Squid pero que no fue construido, implementado ni operado por la compañía. "El marco preciso es: se explotó un SquidRouterModule de terceros, no el contrato Router de Squid", afirmó la empresa. Este incidente subraya el potencial de daño reputacional por asociación, incluso cuando los contratos principales de un protocolo permanecen seguros.
El exploit sirve como un duro recordatorio de las complejidades de seguridad en DeFi, donde la componibilidad y las integraciones de terceros pueden introducir vulnerabilidades imprevistas. Para los usuarios de billeteras multifirma como Gnosis Safe, enfatiza la necesidad crítica de examinar y comprender los permisos otorgados a cualquier módulo de terceros. A las 14:30 UTC del 25 de mayo, los fondos robados permanecían en la billetera del atacante, sin indicios de su próximo movimiento.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
