Ce qu’il faut retenir :
- Un module tiers malveillant nommé SquidRouterModule a drainé 3,2 millions de dollars de 86 portefeuilles Gnosis Safe en deux heures.
- Le module frauduleux exploitait une faille permettant d’exécuter du code arbitraire sans signature grâce à une chaîne de caractères constante.
- Squid se désolidarise totalement du module, précisant qu’il n’a ni créé ni déployé ce contrat qui utilise abusivement leur nom.
Un module frauduleux draine 86 portefeuilles en deux heures
Un attaquant a exploité un module tiers malveillant pour drainer environ 3,2 millions de dollars de 86 portefeuilles Gnosis Safe en l’espace de deux heures. L’exploit s’est déroulé simultanément sur Ethereum et Base, selon les rapports des firmes de sécurité Blockaid et PeckShield.
Le contrat vulnérable, vérifié sur Basescan sous le nom SquidRouterModule, acceptait une chaîne de caractères fournie par l’appelant comme preuve de sécurité du message. Cette faille architecturale permettait à l’attaquant d’exécuter du code arbitraire et de dépenser tous les tokens des portefeuilles victimes sans aucune signature requise.
Squid se désolidarise du module frauduleux
Le protocole cross-chain Squid a fermement nié tout lien avec le module exploité. Le contrat appelé SquidRouterModule n’a aucun rapport avec Squid. Nous ne savons pas encore qui l’a écrit ou déployé, a déclaré le co-fondateur pseudonyme Fig sur X.
Squid précise que son routeur principal reste architecturalement séparé et n’a pas été touché par l’incident. Le module frauduleux constitue un produit tiers qui a choisi d’intégrer Squid parmi d’autres protocoles, sans aucun contact avec l’équipe officielle.
Technique d’exploit et blanchiment des fonds
L’attaquant a déployé des contrats d’exploit basés sur Foundry qui appelaient le chemin DelegateBundler du module, se faisant passer pour des délégués autorisés sur chaque Safe. Les actifs ciblés ont été échangés via des pools Uniswap V3 contrôlés par l’attaquant contre un token sans valeur appelé u.
Après avoir retiré la liquidité des pools, l’attaquant a consolidé le butin en environ 3,07 millions de DAI, désormais détenus dans un portefeuille commençant par 0xa447…54859. Le financement initial de 2,1 ETH provenait de Tornado Cash, selon PeckShield.
Ce qu’il faut surveiller
Cet incident porte les pertes DeFi de 2026 à plus de 770 millions de dollars, avec un pic en avril qui a enregistré environ 30 incidents et plus de 630 millions drainés. Mais c’est surtout la fréquence de ces attaques qui inquiète, avec plusieurs hacks chaque semaine.
Les utilisateurs de modules Gnosis Safe sont invités à vérifier l’origine et la légitimité des contrats avant activation.
Squid, qui vient de lever 6 millions de dollars auprès de North Island Ventures, Ripple et autres investisseurs, maintient avoir complété neuf audits de sécurité indépendants sans exploit enregistré sur ses propres contrats.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
