Cross-chain router Squid heeft afstand genomen van een derde partij Gnosis Safe-module, SquidRouterModule, nadat aanvallers ongeveer $3,2 miljoen hebben gestolen via Ethereum en Base.
Blockchain-beveiligingsbedrijven hebben het lek gemeld waarbij 86 Gnosis Safe-accounts zijn geraakt in ongeveer 2 uur tijd.
Squid neemt afstand van $3,2 miljoen SquidRouterModule exploit
Blockaid gaf aan dat de aanvaller de gestolen tokens heeft omgewisseld naar Dai (DAI) via door de aanvaller beheerde Uniswap V3-pools.
Verder gaf beveiligingsbedrijf PeckShield aan dat de aanvaller oorspronkelijk 2,1 ETH ontving van Tornado Cash. Ook liet het bedrijf weten dat de wallet van de aanvaller, 0xA447…54859, de gestolen crypto-assets bevatte.
Volg ons op X om direct het laatste nieuws te ontvangen
Squid reageerde snel op X door hun eigen protocol te onderscheiden van het gehackte contract. Het team gaf aan: “Het contract draagt onze naam, maar is niet door ons geschreven.” Ook gaven ze aan dat hun gebruikers niet zijn getroffen.
“Vroege openbare berichtgeving kan verwijzen naar ‘SquidRouter’ vanwege de geverifieerde naam van het contract op Basescan. Het juiste beeld is: een SquidRouterModule van een derde partij is uitgebuit, niet Squid’s eigen Router-contract,” zei het team.
Op Basescan draagt het getroffen contract de naam “SquidRouterModule”, wat voor verwarring zorgde. Squid gaf aan dat het team niet heeft meegewerkt aan het schrijven van het contract of het op de chain heeft gezet. Het contract is een smart-wallet optie van een derde partij, die integreerde met meerdere protocollen, waaronder Squid.
De echte router van Squid staat op 0xce16F69375520ab01377ce7B88f5BA8C48F8D666 en heeft een andere opzet. Dit contract is niet geraakt door de aanval en de balansen, goedkeuringen en koppelingen van gebruikers zijn veilig.
“De exploit werkte omdat de module van een derde partij een constante string die door de gebruiker werd ingevuld accepteerde als bewijs dat een bericht veilig was. Als je deze string invult (die openbaar te vinden is in de code van het geverifieerde contract), kun je een reeks willekeurige calldata uitvoeren en zo eenvoudig fondsen stelen. De getroffen Safes hadden dit zwakke contract toegevoegd als vertrouwde Safe Module, waardoor dit contract de mogelijkheid kreeg om alle tokens in de Safe te verplaatsen zonder handtekeningen,” legde het protocol uit.
Dit incident is één van meerdere crypto-exploits die protocollen deze maand hebben getroffen. DefiLlama registreerde in mei 2026 meer dan 20 exploits.
Abonneer je op ons YouTube-kanaal om crypto-leiders en journalisten deskundige inzichten te horen geven
