Puntos clave de la noticia:
- Un módulo malicioso de Gnosis Safe identificado como «SquidRouterModule» drenó aproximadamente $3.2 millones de 86 wallets en Ethereum y Base.
- El exploit operó durante dos horas; los fondos fueron convertidos en ~3.07 millones de DAI y enviados a una sola wallet controlada por el atacante.
- Squid deslindó toda responsabilidad: el contrato usa su nombre pero fue desarrollado y desplegado por un tercero sin vinculación con el equipo.
Un módulo de terceros verificado en Basescan bajo el nombre «SquidRouterModule» fue explotado en las redes Ethereum y Base, el atacante drenó aproximadamente $3.2 millones de 86 wallets en un lapso de dos horas. Las firmas de seguridad Blockaid y PeckShield reportaron el incidente.
El protocolo de interoperabilidad cross-chain Squid salió rápidamente a desvincularse del caso y del contrato comprometido. «El contrato llamado SquidRouterModule no está relacionado con Squid. Aún no sabemos quién lo escribió ni lo desplegó», escribió en X el cofundador anónimo Fig. El equipo aclaró que su router central opera de forma arquitectónicamente separada y no fue afectado.
Squid users and integrators are safe. No approvals are at risk on any chain.
The contract called SquidRouterModule is unrelated to Squid. We don’t know yet who wrote or deployed this
— fig (@ecdsafu) May 25, 2026
La Falla del Módulo que Permitió el Robo de Fondos
La vulnerabilidad residía en la lógica de autenticación del módulo: aceptaba una cadena de texto constante provista por el llamador como prueba de que un mensaje era legítimo. Con ese mecanismo roto, un atacante pudo ejecutar calldata arbitrario y disponer de los tokens en las víctimas sin necesidad de firmas válidas.
Según Blockaid, el atacante desplegó contratos de exploit basados en Foundry que llamaron al path DelegateBundler del módulo, suplantando a delegados autorizados y disparando swaps arbitrarios a través de pools de Uniswap V3. Los activos objetivo fueron canalizados hacia un token sin valor creado por el propio atacante, denominado «u», a través de pools de Uniswap V3 sembradas previamente. El atacante luego retiró la liquidez y unificó todo en aproximadamente 3.07 millones de DAI, ahora retenidos en una wallet que comienza con «0xa447…54859», de acuerdo con PeckShield. El financiamiento inicial del atacante —2.1 ETH— provino de Tornado Cash.
Se Agrava la Crisis DeFi
Squid señaló que los primeros reportes públicos que referenciaban al módulo «SquidRouter» eran técnicamente inexactos. El contrato comparte el nombre pero pertenece a un producto de terceros que eligió integrarse con Squid, entre otros protocolos, sin haber tenido contacto alguno con el equipo.
Este incidente incrementa las ya enormes pérdidas del sector DeFi. La industria acumula más de $770 millones robados en lo que va del 2026. Abril registró un récord de aproximadamente 30 incidentes y más de $630 millones perdidos.
