Isang third-party na Gnosis Safe module ang na-exploit sa buong Ethereum at Base, na nagresulta sa pagkaubos ng humigit-kumulang $3.2 milyon mula sa 86 Safes sa loob ng halos dalawang oras, ayon sa ulat ng mga security firm na Blockaid at PeckShield.
Ang vulnerable na kontrata, na na-verify sa Basescan sa ilalim ng pangalang "SquidRouterModule," ay hindi binuo, inilabas, o pinatakbo ng cross-chain protocol na Squid.
"Ang kontratang tinawag na SquidRouterModule ay walang kaugnayan sa Squid. Hindi pa namin alam kung sino ang sumulat o nag-deploy nito," isinulat ng pseudonymous na co-founder ng Squid na si Fig sa X. Ang core router nito ay hiwalay sa arkitektura at hindi nagalaw, idinagdag ng opisyal na X page ng proyekto.
Ang exploit ay gumana dahil tinanggap ng module ang isang caller-supplied constant string bilang patunay na secure ang isang mensahe.
Ang pagpasa sa string na iyon ay nagbigay-daan sa isang attacker na magsagawa ng arbitraryong calldata at gastusin ang anumang token na hawak sa mga Safe ng biktima nang walang mga lagda, ayon sa Squid.
Ang attacker ay nag-deploy ng mga Foundry-based exploit contract na tumawag sa DelegateBundler path ng module, nagpapanggap bilang mga awtorisadong delegate sa bawat Safe at nag-trigger ng arbitraryong pagpapalit ng mga token sa pamamagitan ng mga Uniswap V3 pool, isinulat ng Blockaid.
Ang mga target na asset ay ipinagpalit sa pamamagitan ng mga Uniswap V3 pool na pinagsimulan ng attacker patungo sa isang walang kwentang token na ginawa ng attacker na tinatawag na "u." Pagkatapos ay inalis ng attacker ang liquidity mula sa mga pool at pinagsama ang mga nalikom sa humigit-kumulang 3.07 milyong DAI, na kasalukuyang hawak sa isang wallet na nagsisimula sa "0xa447...54859," ayon kay PeckShield.
Ang paunang pondo ng exploiter na 2.1 ETH ay nagmula sa Tornado Cash, idinagdag ni PeckShield.
Sinabi ng Squid na ang maagang pag-uulat ng publiko na tumutukoy sa "SquidRouter" ay technically inaccurate. Ang kontrata ay may kaparehong pangalan ng Squid ngunit ito ay isang third-party na produkto na piniling isama ang Squid sa iba pang mga protocol at walang direktang kontak sa team, isinulat ng proyekto.
Ang DeFi ay nakapagtala ng higit sa $770 milyon na pagkalugi noong 2026, kung saan ang buwan ng Abril lamang ay nagtala ng record na humigit-kumulang 30 insidente at higit sa $630 milyon ang nawala, ipinapakita ng data dashboard ng The Block.
Palawakin ang Tsart
Kamakailan ay inanunsyo ng Squid na nakalikom ito ng $6 milyon sa isang strategic funding round na pinangunahan ng North Island Ventures, kasama ang Ripple, Dialectic, at Borderless na nakibahagi rin.
Matagal nang isa sa pinakamahirap na bahagi sa crypto ang cross-chain interoperability, kung saan ang sektor ay nakaranas ng maraming bridge exploit at insidente sa seguridad sa paglipas ng mga taon. Sinabi ni Fig ng Squid sa The Block noong nakaraang linggo na nakumpleto na ng proyekto ang siyam na independiyenteng security audit hanggang ngayon, walang naitalang exploit, at napanatili ang 99.99% uptime.
Nang tanungin noon kung ang Squid ay naghahanap upang maglingkod sa mga proyekto na muling sinusuri ang kanilang cross-chain infrastructure kasunod ng mga isyu sa ibang bahagi ng merkado, sinabi ni Fig na ang platform ay bukas sa mga pag-uusap sa mga team na naghahanap ng secure na koneksyon.
Disclaimer: Ang The Block ay isang independiyenteng media outlet na naghahatid ng balita, pananaliksik, at datos. Noong Nobyembre 2023, ang Foresight Ventures ang majority investor ng The Block. Ang Foresight Ventures ay namumuhunan sa iba pang kumpanya sa crypto space. Ang crypto exchange na Bitget ay isang anchor LP para sa Foresight Ventures. Ang The Block ay patuloy na gumagana nang independiyente upang maghatid ng obhetibo, makabuluhan, at napapanahong impormasyon tungkol sa industriya ng crypto. Narito ang aming kasalukuyang financial disclosures.
© 2026 The Block. Lahat ng Karapatan ay Nakalaan. Ang artikulong ito ay ibinigay para sa layunin ng impormasyon lamang. Hindi ito inaalok o nilayon na gamitin bilang legal, buwis, pamumuhunan, pinansyal, o iba pang payo.
