Une vulnérabilité critique dans un module tiers de Gnosis Safe nommé « SquidRouterModule » a été exploitée le 25 mai, permettant à un attaquant de siphonner environ 3,2 millions de dollars d'actifs à partir de 86 portefeuilles sur les réseaux Ethereum et Base.
L'incident a été signalé pour la première fois par la société de sécurité blockchain Blockaid, qui a détecté l'exploitation en cours sur une période de deux heures. Selon Blockaid, l'attaquant a exploité une faille dans la fonction executeSameChainActions() au sein du module. Cette vulnérabilité a permis à l'attaquant d'usurper l'identité de délégués autorisés et d'exécuter des échanges de jetons arbitraires à partir des portefeuilles des victimes sans nécessiter de signatures supplémentaires.
Les actifs volés, un mélange de divers jetons, ont été échangés via des pools Uniswap V3 contrôlés par l'attaquant et consolidés en environ 3,07 millions de dollars de stablecoin DAI. L'attaque met en évidence les risques de sécurité croissants associés aux modules tiers et aux autorisations déléguées au sein de l'écosystème de la finance décentralisée (DeFi).
Le protocole cross-chain Squid, dont le nom était associé au module vulnérable, a rapidement réagi pour distancer son protocole de base de l'exploitation. Dans une déclaration publique, Squid a précisé que le « SquidRouterModule » était un produit de portefeuille intelligent tiers intégré à Squid mais qu'il n'avait été ni construit, ni déployé, ni exploité par l'entreprise. « La formulation exacte est la suivante : un SquidRouterModule tiers a été exploité, et non le contrat Router de Squid », a déclaré la société. Cet incident souligne le risque de dommage réputationnel par association, même lorsque les contrats de base d'un protocole restent sécurisés.
L'exploitation sert de rappel brutal des complexités de sécurité dans la DeFi, où la composabilité et les intégrations tierces peuvent introduire des vulnérabilités imprévues. Pour les utilisateurs de portefeuilles multi-signatures comme Gnosis Safe, cela souligne la nécessité critique d'examiner et de comprendre les autorisations accordées à tout module tiers. À 14h30 UTC le 25 mai, les fonds volés se trouvaient toujours dans le portefeuille de l'attaquant, sans aucune indication sur leur prochaine action.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
