Squid se apresura a separar su marca del exploit del módulo Gnosis Safe de $3 millones

Squid se ha apresurado a aclarar que un reciente exploit de $3 millones tuvo como objetivo un módulo de Gnosis Safe de Terceros llamado SquidRouterModule, y no sus contratos principales de enrutamiento Cross-chain, tras el vaciado de 86 carteras en Ethereum y Base en menos de dos horas.

Según la firma de seguridad on-chain Blockaid, el ataque se centró en un módulo de Gnosis Safe llamado SquidRouterModule desplegado en Ethereum y Base, que era utilizado por algunos propietarios de multisig para enrutar transacciones Cross-chain relacionadas con Squid y otros protocolos.

Blockaid informó que en aproximadamente dos horas el atacante sustrajo fondos de 86 carteras Gnosis Safe, con pérdidas totales de entre $3 millones y $3,2 millones, antes de consolidar los fondos en una única dirección que acumulaba poco más de 3,07 millones de DAI.

En un resumen detallado, la redacción de noticias de KuCoin cita a Blockaid y Squid al señalar que los tokens robados fueron intercambiados por DAI a través de un pool personalizado de Uniswap V3 configurado por el atacante, quien luego agregó los fondos drenados en una sola cartera para simplificar el lavado de dinero.

El error principal se encontraba dentro de la lógica de "seguridad de mensajes" del SquidRouterModule: la cobertura de Binance Square explica que el módulo simplemente aceptaba una cadena constante proporcionada por el llamante como prueba de que un mensaje era válido, lo que significaba que cualquiera que pudiera ver el código del contrato podía copiar la cadena y pasar datos de llamada arbitrarios.

CoinNess informa que el atacante aprovechó esta Verificación de cadena fija pública para ejecutar llamadas arbitrarias desde los Safes afectados, otorgándose efectivamente permiso para mover activos fuera de los multisigs sin confirmación del propietario.

¿Cómo drenó el exploit de SquidRouterModule 86 Gnosis Safes?

La nota de incidente de Binance lo describe sin rodeos, afirmando que el diseño "aceptaba una cadena fija proporcionada por el llamante para la seguridad de mensajes", un patrón que eliminaba cualquier autenticación real y abría un camino directo para drenar fondos de las carteras integradas.

Esta es una clase de riesgo conocida para los módulos de Gnosis Safe, ya que investigaciones anteriores de OpenZeppelin demostraron que cualquier módulo adjunto puede ejecutar transacciones desde una cartera sin aprobación del propietario si sus verificaciones internas son débiles o están mal configuradas.

En este caso, el módulo inseguro llevaba la marca de Squid pero fue desarrollado y desplegado por un integrador de Terceros, no por el equipo de Squid ni por los mantenedores de su protocolo principal.

¿Por qué Squid está distanciando su enrutador principal del hackeo?

En una publicación oficial en X, Squid declaró que "este incidente no está relacionado con el protocolo y los contratos principales de Squid", y enfatizó que su contrato de enrutamiento principal, identificado on-chain como 0xce16F69375520ab01377ce7B88f5BA8C48F8D666, "no estuvo involucrado en ninguna de las transacciones maliciosas".

El artículo de KuCoin señala que Squid aclaró que el SquidRouterModule "no fue desarrollado, desplegado ni operado por ellos; el nombre fue elegido de forma independiente por Terceros al integrarse con Squid", y que se encuentra completamente fuera de la arquitectura del enrutador principal.

El equipo subrayó además que los fondos de los usuarios, las aprobaciones existentes y las integraciones a nivel de protocolo siguen siendo seguros, y que "el enrutamiento Cross-chain principal de Squid no se ha visto afectado", mientras continúa monitoreando la situación y coordinando con firmas de seguridad.

A pesar de esto, la percepción es negativa: como señala el artículo de KuCoin, los titulares inevitablemente asocian "Squid" con "hackeo", aunque el radio de impacto se limita a un módulo Safe descuidado cuya única conexión real con el proyecto es la marca y su uso de Squid como uno de varios enrutadores integrados.

Los investigadores de seguridad han advertido durante mucho tiempo que el poder de Gnosis Safe conlleva una advertencia: cualquier módulo conectado a un Safe puede ejecutar transacciones sin confirmaciones del propietario si su lógica es defectuosa, que es exactamente lo que ocurrió aquí una vez que se eludió la verificación de cadena fija.

Para el ecosistema más amplio de Cross-chain y extensiones de carteras, el incidente de SquidRouterModule es otro ejemplo concreto de cómo la componibilidad más las suposiciones de seguridad descuidadas en módulos periféricos pueden abrir superficies de ataque completamente fuera de los propios contratos y auditorías de un protocolo.

También subraya una realidad dolorosa para equipos de infraestructura como Squid, que Axelar describe como "un protocolo que permite el enrutamiento de liquidez Cross-chain e intercambios a través de un único SDK": incluso cuando tus propios contratos son sólidos, los envoltorios de Terceros aún pueden arrastrar tu marca a titulares de exploits si fallan en la higiene básica de seguridad.