O router cross-chain Squid revelou a 25 de maio que um módulo da Gnosis Safe de terceiros foi explorado em Base e Ethereum, drenando cerca de 3,2 milhões de dólares de carteiras que usavam o módulo. O protocolo central e os contratos do Squid não foram afetados, e a equipa disse que não é necessária qualquer ação por parte dos utilizadores ou integradores.
A divulgação surge menos de 24 horas depois de o Squid ter fechado uma ronda de financiamento de 6 milhões de dólares apoiada pela Ripple, tornando as aparências brutais: metade da ronda perdida para uma vulnerabilidade de terceiros que a equipa não operava. A exploração visou um módulo da Safe usado para gerir carteiras de tesouraria e operacionais, não a lógica de routing que move fundos dos utilizadores entre cadeias.
Porque é que importa
Os módulos de smart-account ficam fora do protocolo que uma equipa lança, mas continuam a deter as chaves da sua tesouraria. Quando um módulo é explorado, os projetos afetados absorvem o impacto reputacional mesmo quando a falha é a montante. O incidente soma-se a uma lista crescente de incidentes em módulos da Safe que têm levado custodiantes institucionais a exigir atestações ao nível do módulo, e não apenas auditorias a contratos, antes de assinarem cheques.
Impacto no mercado
A perda está confinada às carteiras operacionais do Squid e não afeta fundos de utilizadores nem o routing, mas o timing — capital fresco, exploit fresco — vai dominar o ciclo noticioso do protocolo. Fique atento ao post-mortem sobre qual versão do módulo da Safe estava vulnerável e se outras equipas do portefólio da Ripple com setups de tesouraria semelhantes tomam medidas defensivas.
Perguntas frequentes
-
O hack ao Squid afetou fundos de utilizadores ou o protocolo de routing?
Não. O protocolo central e os contratos do Squid não foram afetados, e a equipa disse que não é necessária qualquer ação de utilizadores ou integradores. A exploração atingiu um módulo da Gnosis Safe de terceiros usado para gerir carteiras operacionais e de tesouraria.
-
Quanto foi perdido na exploração do Squid?
Cerca de 3,2 milhões de dólares foram drenados de carteiras que usavam o módulo da Safe vulnerável em Base e Ethereum, segundo a divulgação do Squid de 25 de maio.
-
Qual foi o timing em relação à ronda de financiamento do Squid?
O Squid divulgou a exploração menos de 24 horas depois de fechar uma ronda de 6 milhões de dólares que incluía a Ripple como investidora nomeada, fazendo com que cerca de metade da ronda equivalesse ao tamanho da perda.
-
Trata-se de um bug no protocolo Squid ou de um problema de terceiros?
Terceiros. A superfície vulnerável foi um módulo da Gnosis Safe usado para gestão de carteiras, não os contratos de routing do próprio Squid.
-
O que devem fazer utilizadores e integradores?
Segundo o comunicado do Squid, não é necessária qualquer ação — a exploração não tocou em fundos de utilizadores nem em infraestrutura virada para integradores. As carteiras afetadas limitaram-se às contas operacionais e de tesouraria da própria equipa.