coinedition.com
По сообщениям Blockaid, хакеры использовали уязвимый сторонний модуль SquidRouterModule, связанный с экосистемой Squid.
В своем последнем посте на X, корпоративная платформа безопасности Web3 сообщила, что злоумышленники сняли примерно 3 миллиона долларов примерно за два часа из 86 сейфов Gnosis, прежде чем обменять токены на $DAI через пулы Uniswap V3, которые они контролируют.
🚨 Blockaid detected an ongoing exploit targeting the SquidRouterModule on Ethereum and Base.
— Blockaid (@blockaid_) May 25, 2026
86 Gnosis Safes drained for ~$3M in ~2 hours.
All stolen tokens swapped to $DAI via attacker-controlled Uniswap V3 pools.
More details in 🧵
Что сделало этот эксплойт возможным?
Предоставляя дополнительные детали атаки, Blockaid отметил, что атака возможна потому, что затронутые кошельки ранее одобрили уязвимый сторонний модуль с широкими правами на транзакции. Это позволяло злоумышленнику притворяться доверенным пользователем, совершая фальшивые свопы Uniswap V3 без прямого одобрения владельцев кошелька.
В одной из веток на X Blockaid объяснил, что злоумышленники профинансировали свой кошелёк 2.1 ETH через Tornado Cash перед началом атаки, после чего они осуществили автоматические атаки как на сети Ethereum, так и на Base. Следующим шагом Хакера стало удаление ликвидности из пулов, конвертировав украденные активы примерно в 3,07 $DAI, которые находились в их кошельке на момент публикации отчёта Blockaid.
Связано: Разрыв в страховании DeFi оставляет миллиарды уязвимыми, а количество взломов продолжает расти
Основная инфраструктура Gnosis безопасна
Стоит отметить, что зарегистрированная атака не затронула основную инфраструктуру Safe Gnosis. Информация от Squid и нескольких компаний по безопасности блокчейна показывает, что уязвимость возникла через отдельный сторонний модуль, интегрированный в некоторые кошельки Safe. Только пользователи, которые ранее доверяли и взаимодействовали с этим модулем, подвергались этому эксплойту.
Согласно заявлению Squid по поводу эксплойта, их основная команда не участвовала в создании, развертывании или эксплуатации уязвимого контракта, несмотря на схожее название. Фирма объяснила, что эксплойт возможен, потому что модуль принял публично известную постоянную строку в качестве доказательства авторизации, позволяющую хакерам выполнять произвольные транзакции без действительных подписей кошелька.
Тем временем Squid сообщил своим членам сообщества, что следит за ситуацией и будет делиться обновлениями, если что-то существенно изменится. Компания также подтвердила, что её основные контракты на маршрутизаторы и пользовательские средства никогда не были затронуты эксплойтом.
Связано: Взлом протокола Echo потратил 816 тысяч долларов после подделки монетного двора eBTC