SquidRouterModule: cómo un módulo vulnerable drenó USD 3 millones en 2 horas y puso en jaque la seguridad de las billeteras multifirma

El momento del ataque no pudo ser más incómodo para el ecosistema. Ocurría apenas tres días después de que Squid, una plataforma de enrutamiento cross-chain, anunciara con bombos y platillos una ronda de financiamiento estratégico por USD 6 millones, liderada por North Island Ventures y con la participación de pesos pesados como Ripple . Para colmo, el módulo explotado usaba el nombre "Squid", generando una confusión inmediata sobre si el protocolo legítimo había sido vulnerado .

La respuesta de Squid no se hizo esperar. En cuestión de horas, la compañía emitió comunicados en los que se desmarcaba por completo del incidente: aclaró que SquidRouterModule era un módulo externo de Gnosis Safe que no fue desarrollado, desplegado ni operado por ellos . Recalcaron que sus contratos centrales de enrutamiento y los fondos de sus usuarios estaban completamente a salvo y eran estructuralmente diferentes al módulo comprometido .

Anatomía del ataque: cómo se burló la seguridad multifirma de Gnosis Safe

El ataque explotó una debilidad técnica en la función executeSameChainActions() del módulo. Esta función aceptaba datos de llamada (calldata) arbitrarios y utilizaba una verificación de cadena de texto fija que los atacantes pudieron replicar sin esfuerzo .

La secuencia del ataque se desarrolló en cuatro pasos vertiginosos:

1. Contratos de intercambio falsos: El atacante creó pools de liquidez Uniswap V3 que parecían legítimos, pero estaban bajo su control total .
2. Omisión de aprobaciones: El módulo vulnerable permitió al atacante hacerse pasar por un delegado autorizado de las billeteras, eludiendo así la verificación de firma múltiple (multifirma) que caracteriza la seguridad de Gnosis Safe .
3. Drenaje acelerado: En rápida sucesión, se vaciaron las 86 billeteras en Ethereum y Base .
4. Consolidación del botín: Todos los tokens robados se intercambiaron por DAI y se enviaron a una sola billetera controlada por el atacante .

Este vector de ataque —abusar de una verificación débil en un módulo de terceros para anular la seguridad principal de la billetera— es distinto de otros grandes exploits de 2026, que se basaron principalmente en la falsificación de mensajes entre cadenas .

De la celebración al desastre: la brecha de tres días

La línea de tiempo es un reflejo de la volatilidad inherente al mundo de las finanzas descentralizadas (DeFi):

• 22 de mayo de 2026: Squid celebra su ronda estratégica de USD 6 millones. Con esto, su financiación total asciende a USD 13,5 millones. El plan es usar el capital para expandir productos de consumo cross-chain y seguir integrando blockchains como Bitcoin, Ethereum y Solana .
• 25 de mayo de 2026: Blockaid emite la alerta del exploit SquidRouterModule, desatando un vendaval de confusión sobre la seguridad del protocolo Squid .

La defensa de la marca fue contundente y veloz, una movida obligada para acallar las especulaciones que corrían como pólvora en redes sociales y foros de criptomonedas. La asociación directa del nombre era una crisis de reputación en ciernes.

2026: el año en que los puentes cross-chain se convirtieron en el blanco favorito

El incidente de SquidRouterModule no es una anomalía, sino la pieza más reciente de un rompecabezas devastador. Las estadísticas de ataques a puentes entre cadenas en 2026 pintan un panorama alarmante para la industria.

Según la firma de seguridad blockchain PeckShield, para mediados de mayo de 2026 ya se habían registrado ocho importantes hackeos relacionados con puentes, acumulando un total de USD 328,6 millones robados en el año . A finales de mayo, la cifra global de hackeos en criptomonedas superaba los USD 750 millones en todas las categorías, y los puentes representaban el vector de ataque más grande y lucrativo para los delincuentes .

Los métodos varían, pero hay patrones comunes. La falsificación de mensajes cross-chain permitió los robos más cuantiosos, como el de KelpDAO, donde se acuñaron 116.500 tokens rsETH falsos "de la nada" , o el del puente de Verus, que engañó al protocolo para liberar fondos de sus reservas . También persisten las vulnerabilidades de clave privada, como en el caso de IoTeX , y las fallas en la lógica de los contratos inteligentes, como en CrossCurve . El exploit de SquidRouterModule añade un nuevo patrón preocupante: el abuso de permisos de un módulo de billetera de terceros para sortear los marcos de seguridad establecidos .

¿Dónde están los fondos ahora?

Según los informes más recientes de Blockaid y el análisis de datos en cadena, los aproximadamente 3,07 millones de DAI robados permanecen intactos en la billetera del atacante. No se ha reportado ninguna congelación de fondos, recuperación o movimiento significativo hasta el momento .

Para financiar el ataque, la dirección del explotador fue abastecida a través de Tornado Cash, un mezclador de privacidad comúnmente utilizado en exploits DeFi para ofuscar el origen de los fondos de las transacciones . No se ha hecho pública ninguna detención o identificación del responsable.

El incidente deja una lección crítica para los usuarios de Gnosis Safe y el ecosistema DeFi en general: incluso la infraestructura de billeteras más robusta y sometida a auditorías puede verse comprometida a través de módulos de terceros que los usuarios integran sin examinar a fondo sus propiedades de seguridad. Cada módulo añadido a una Safe expande la superficie de ataque, y las vulnerabilidades en estos módulos pueden anular las protecciones multifirma que, en teoría, hacen que estas billeteras sean tan seguras.