coinedition.com
Laut Berichten von Blockaid haben Hacker ein verwundbares Drittanbieter-SquidRouterModule, das mit dem Squid-Ökosystem verbunden ist, ausgenutzt.
In seinem neuesten Beitrag auf X erklärte die unternehmensweite Web3-Sicherheitsplattform, dass die Angreifer in etwa zwei Stunden etwa 3 Millionen Dollar aus 86 Gnosis-Tresoren abgezogen haben, bevor sie die Token über Uniswap V3-Pools, die sie kontrollieren, an $DAI getauscht haben.
🚨 Blockaid detected an ongoing exploit targeting the SquidRouterModule on Ethereum and Base.
— Blockaid (@blockaid_) May 25, 2026
86 Gnosis Safes drained for ~$3M in ~2 hours.
All stolen tokens swapped to $DAI via attacker-controlled Uniswap V3 pools.
More details in 🧵
Was machte den Exploit möglich?
Bei weiteren Details zum Angriff wies Blockaid darauf hin, dass der Angriff möglich sei, weil die betroffenen Wallets zuvor ein verwundbares Drittanbieter-Modul mit weitreichenden Transaktionsberechtigungen genehmigt hatten. Dadurch konnte der Angreifer vortäuschen, ein vertrauenswürdiger Nutzer zu sein, während er gefälschte Uniswap V3-Swaps durchführte, ohne die direkte Zustimmung der Wallet-Besitzer zu benötigen.
In einem Thread auf X erklärte Blockaid, dass die Angreifer ihre Wallet mit 2,1 ETH über Tornado Cash finanziert hatten, bevor sie den Angriff starteten, woraufhin sie automatisierte Angriffe sowohl auf das Ethereum- als auch auf das Base-Netzwerk ausführten. Der nächste Schritt des Hackers war, die Liquidität aus den Pools zu entfernen und die gestohlenen Vermögenswerte in etwa 3,07 $DAI umzuwandeln, die zum Zeitpunkt des Berichts von Blockaid in ihrer Wallet lagen.
Die Kerninfrastruktur von Gnosis ist sicher
Es ist erwähnenswert, dass der gemeldete Angriff die Kern-Safe-Infrastruktur von Gnosis nicht beeinträchtigte. Informationen von Squid und mehreren Blockchain-Sicherheitsfirmen zeigen, dass die Schwachstelle durch ein separates Drittanbieter-Modul bestand, das in einige Safe-Wallets integriert wurde. Nur Nutzer, die diesem Modul vertrauten und mit diesem in der Vergangenheit interagiert hatten, waren von dem Exploit betroffen.
Laut der Ankündigung von Squid zum Exploit hatte das Kernteam trotz eines ähnlichen Namens keine Mitwirkung am Bau, der Bereitstellung oder dem Betrieb des verwundbaren Vertrags. Das Unternehmen erklärte, dass der Exploit möglich sei, weil das Modul eine öffentlich bekannte konstante Zeichenkette als Autorisierungsnachweis akzeptierte, was es Hackern ermöglichte, beliebige Transaktionen ohne gültige Wallet-Signaturen auszuführen.
In der Zwischenzeit teilte Squid seinen Community-Mitgliedern mit, dass es die Situation beobachtet und Updates teilen wird, falls sich etwas wesentlich ändert. Das Unternehmen bestätigte außerdem, dass seine Hauptrouterverträge und Nutzergelder nie von dem Exploit betroffen waren.