Le routeur cross-chain Squid a révélé le 25 mai qu'un module Gnosis Safe tiers avait été exploité sur Base et Ethereum, vidant environ 3,2 M$ des portefeuilles utilisant ce module. Le protocole central de Squid et ses contrats n'ont pas été affectés, et l'équipe a indiqué qu'aucune action n'est requise de la part des utilisateurs ou des intégrateurs.
La divulgation intervient moins de 24 heures après la clôture par Squid d'une levée de fonds de 6 M$ soutenue par Ripple, rendant l'image brutale : la moitié de la levée partie dans une vulnérabilité tierce que l'équipe n'opérait pas. L'exploitation a visé un module Safe utilisé pour gérer les portefeuilles de trésorerie et opérationnels, et non la logique de routage qui déplace les fonds des utilisateurs entre les chaînes.
Pourquoi c'est important
Les modules de smart-accounts se situent en dehors du protocole qu'une équipe déploie, mais détiennent malgré tout les clés de sa trésorerie. Lorsqu'un module est exploité, les projets concernés en absorbent le coût réputationnel, même si la défaillance est en amont. L'incident s'ajoute à une liste croissante d'incidents liés aux modules Safe qui ont poussé les dépositaires institutionnels à exiger des attestations au niveau des modules, et pas seulement des audits de contrats, avant de signer leurs chèques.
Impact sur le marché
La perte est contenue aux portefeuilles opérationnels de Squid et n'affecte ni les fonds des utilisateurs ni le routage, mais le calendrier — capitaux frais, nouvel exploit — va dominer l'actualité du protocole. À surveiller : un post-mortem sur la version du module Safe qui était vulnérable, et la question de savoir si d'autres équipes du portefeuille Ripple utilisant des configurations de trésorerie similaires prendront des mesures défensives.
Questions fréquemment posées
-
Le piratage de Squid a-t-il affecté les fonds des utilisateurs ou le protocole de routage ?
Non. Le protocole central de Squid et ses contrats n'ont pas été affectés, et l'équipe a indiqué qu'aucune action n'est requise de la part des utilisateurs ou des intégrateurs. L'exploitation a visé un module Gnosis Safe tiers utilisé pour gérer les portefeuilles opérationnels et de trésorerie.
-
Combien a été perdu dans l'exploit de Squid ?
Environ 3,2 M$ ont été drainés des portefeuilles utilisant le module Safe vulnérable sur Base et Ethereum, selon la divulgation de Squid du 25 mai.
-
Quel était le calendrier par rapport à la levée de fonds de Squid ?
Squid a divulgué l'exploit moins de 24 heures après la clôture d'une levée de 6 M$ incluant Ripple comme investisseur nommé, rendant la perte à peu près équivalente à la moitié de la levée.
-
S'agit-il d'un bug du protocole Squid ou d'un problème tiers ?
Tiers. La surface vulnérable était un module Gnosis Safe utilisé pour la gestion des portefeuilles, et non les propres contrats de routage de Squid.
-
Que doivent faire les utilisateurs et les intégrateurs ?
Selon la déclaration de Squid, aucune action n'est nécessaire — l'exploit n'a touché ni les fonds des utilisateurs ni l'infrastructure destinée aux intégrateurs. Les portefeuilles affectés se limitaient aux comptes opérationnels et de trésorerie de l'équipe.