SquidRouterModule-Exploit: 3 Millionen Dollar in nur zwei Stunden abgegriffen

Squid distanzierte sich umgehend von dem ausgenutzten Modul und erklärte, dass das SquidRouterModule ein Drittanbieter-Modul für Gnosis Safe sei, das das Unternehmen weder entwickelt, bereitgestellt noch betrieben habe . Die gestohlenen DAI befinden sich laut letzten Berichten weiterhin in der Wallet des Angreifers, eine Sperrung oder Wiederherstellung ist nicht erfolgt .

Wie der Exploit die Sicherheitsmechanismen von Gnosis Safe aushebelte

Der Angriff nutzte eine Schwachstelle in der executeSameChainActions()-Funktion des SquidRouterModule aus. Diese Funktion akzeptierte beliebige Calldata und verwendete eine feste Zeichenkette zur Prüfung, die Angreifer leicht wiederverwenden konnten . Die technische Abfolge vollzog sich in vier schnellen Schritten:

1. Gefälschte Swap-Contracts: Der Angreifer setzte Uniswap-V3-Liquiditätspools auf, die legitim wirkten, aber vollständig unter seiner Kontrolle standen .
2. Genehmigungs-Bypass: Das verwundbare Modul erlaubte es dem Angreifer, sich als autorisierter Delegierter auszugeben und so die nativen Multi-Signatur-Prüfungen von Gnosis Safe zu umgehen .
3. Schnelle Entleerung: Innerhalb von rund zwei Stunden wurden 86 Gnosis Safes auf Ethereum und Base in schneller Folge geleert .
4. Konsolidierung: Alle gestohlenen Token wurden in DAI getauscht und an eine einzige, vom Angreifer kontrollierte Wallet mit rund 3,07 Millionen DAI transferiert .

Dieser spezifische Angriffsvektor – das Ausnutzen einer schwachen Prüfung in einem Drittanbieter-Modul – unterscheidet sich von anderen großen Exploits des Jahres 2026, die hauptsächlich auf gefälschten Cross-Chain-Nachrichten beruhten .

Die peinliche Drei-Tages-Lücke: Finanzierung und Fallout

Der SquidRouterModule-Exploit traf die Marke Squid zu einem besonders sensiblen Zeitpunkt:

• 22. Mai 2026: Squid gab eine strategische $6-Millionen-Runde bekannt, die das Gesamtkapital auf 13,5 Millionen Dollar erhöhte. Die Pläne: Ausbau von verbraucherorientierten Cross-Chain-Produkten .
• 25. Mai 2026: Blockaid meldete den SquidRouterModule-Exploit, was in der Krypto-Community eine sofortige Markenverwirrung auslöste .

Squid reagierte innerhalb von Stunden und stellte über mehrere Kanäle klar, dass das kompromittierte Modul „in keiner Beziehung zu Squid“ stehe und sich strukturell von seinen eigenen Cross-Chain-Router-Contracts unterscheide . Das Unternehmen betonte, dass weder Nutzergelder noch Kernprotokoll-Contracts von Squid betroffen seien . Diese schnelle Richtigstellung war notwendig, da der Name des Moduls in öffentlichen Berichten eine direkte Verbindung zu Squid herstellte .

2026: Ein Rekordjahr für Cross-Chain-Bridge-Exploits

Der Vorfall ist der jüngste in einer verheerenden Serie von Angriffen, die 2026 zum schlimmsten Jahr für die Sicherheit von Bridges gemacht haben:

Laut der Sicherheitsfirma PeckShield beliefen sich die Verluste durch acht große Bridge-Hacks bis Mitte Mai 2026 auf insgesamt 328,6 Millionen Dollar . Über alle Kategorien hinweg überstiegen die gesamten Hacking-Schäden bis Ende Mai 750 Millionen Dollar, wobei Bridges den mit Abstand größten Angriffsvektor darstellten .

Die Angriffsmuster variieren, offenbaren aber wiederkehrende Schwächen. Gefälschte Cross-Chain-Nachrichten ermöglichten die größten Exploits, darunter der KelpDAO-Angriff, bei dem 116.500 unechte rsETH-Token geprägt wurden , und der Hack der Verus-Bridge, bei dem das Protokoll dazu verleitet wurde, Mittel aus seinen Reserven zu senden . Kompromittierungen privater Schlüssel, wie bei der ioTube-Bridge von IoTeX , und logische Fehler in Smart Contracts, wie beim CrossCurve-Hack , bleiben eine ständige Bedrohung. Der SquidRouterModule-Exploit fügt ein neueres Muster hinzu: den Missbrauch von Berechtigungen eines Drittanbieter-Moduls, um etablierte Sicherheits-Frameworks zu umgehen .

Aktueller Status der gestohlenen Gelder

Nach den letzten verfügbaren Berichten vom 25. und 26. Mai 2026 befinden sich die ca. 3,07 Millionen DAI weiterhin in der Wallet des Angreifers. Es gab keine gemeldete Sperrung, Wiederherstellung oder Rückgabe . Die Adresse des Angreifers wurde über Tornado Cash finanziert, einen Datenschutz-Mixer, der bei DeFi-Exploits häufig genutzt wird, um die Herkunft von Transaktionsmitteln zu verschleiern . Es gibt keine öffentlichen Berichte über Festnahmen oder Bewegungen der Gelder.

Der Vorfall verdeutlicht eine hartnäckige Herausforderung für die DeFi-Sicherheit: Selbst eine gut geprüfte Wallet-Infrastruktur kann durch Drittanbietermodule kompromittiert werden, die Nutzer integrieren, ohne deren Sicherheitseigenschaften vollständig zu prüfen. Für Nutzer von Gnosis Safe ist die Lehre klar: Jedes hinzugefügte Modul erweitert die Angriffsfläche, und Schwachstellen in Modulen können die Multi-Signatur-Mechanismen außer Kraft setzen, die Gnosis Safe grundsätzlich sicher machen.