SquidRouterModuleの脆弱性で86ウォレットから約5億円流出、Squidの約10億円調達直後に

事件のわずか3日前、クロスチェーンプロトコル「Squid」は、North Island Venturesが主導し、リップル社なども参加した600万ドル（約10億円）の戦略的資金調達を発表したばかりでした 。Squidは即座に声明を発表し、被害を受けた「SquidRouterModule」について、「Squidが開発、展開、運用したものではないサードパーティ製のGnosis Safeモジュールである」と説明。中核的なルーティングプロトコルとは無関係であることを強調しました 。

攻撃者が使用したアドレスは、資金源の追跡を困難にするプライバシーミキサー「Tornado Cash」を通じて資金提供されており、流出したDAIは現在も攻撃者のウォレットに留まっています。執筆時点で、資産の凍結や回収は報告されていません 。

攻撃の手口：Gnosis Safeの防御をどうすり抜けたか

今回の攻撃は、SquidRouterModuleの「executeSameChainActions()」関数にある脆弱性を悪用したものでした。この関数は任意の呼び出しデータ（calldata）を受け付け、かつ固定文字列による検証を行っていたため、攻撃者にとって再利用が容易だったのです 。攻撃の流れは大きく4段階に分けられます。

1. 偽のスワップコントラクトを設置：攻撃者は、一見正当なものに見えるが、実際には攻撃者が完全に制御する偽のUniswap V3流動性プールを展開しました 。
2. 承認機能のバイパス：脆弱なモジュールを介して、攻撃者は承認された代表者になりすますことが可能でした。これにより、本来は複数の署名を必要とするGnosis Safeの承認チェックを回避しました 。
3. 高速な資産流出：約2時間の間に、イーサリアムとBaseネットワーク上の86のSafeウォレットから、次々と資産が引き出されました 。
4. 資金の集約：盗み出した資産は全てDAIに交換され、単一の攻撃者管理ウォレットへと送金されました 。

この「サードパーティ製モジュールの不十分な検証機能を悪用し、ウォレットのセキュリティを無効化する」という攻撃手法は、2026年に多発している偽造クロスチェーンメッセージを主体とする他の大規模攻撃とは異なる、新たな脅威の側面を示しています 。

資金調達からわずか3日：Squidブランドへの影響と対応

SquidRouterModuleの事件は、Squidブランドにとって極めて微妙なタイミングで発生しました。

• 2026年5月22日：Squidが累計調達額1,350万ドル（約20億円）となる600万ドルの戦略的資金調達を発表。個人向けクロスチェーン製品の拡充計画を明らかにしました 。
• 2026年5月25日：BlockaidがSquidRouterModuleの脆弱性を報告。「Squid」の名称を含むモジュールが攻撃を受けたことで、暗号資産コミュニティ内で即座にブランドの混同が生じました 。

Squidは数時間以内に複数のチャンネルを通じて対応し、被害を受けたモジュールは「Squidとは無関係」であり、自社のコアとなるクロスチェーンルーティングコントラクトとは構造的に異なるものであると説明しました 。また、Squidユーザーの資金や中核プロトコルのコントラクトは一切影響を受けていないことを強調しました 。これは、モジュール名が公の報告においてSquidとの直接的な関連性を生み出したため、迅速なブランド防衛が必要だったからです 。

2026年、クロスチェーンブリッジを襲う記録的な被害

SquidRouterModuleの事件は、2026年を「ブリッジセキュリティ」の観点から史上最悪の年にしている一連の壊滅的なクロスチェーン攻撃の最新事例です。

ブロックチェーンセキュリティ企業PeckShieldの発表によると、2026年5月中旬までに、8件の主要なブリッジ関連ハッキングによってクロスチェーンプロトコルから合計3億2,860万ドル（約490億円）が盗み出されました 。5月下旬までに、暗号資産全体のハッキング被害総額は7億5,000万ドル（約1,120億円）を超え、ブリッジが最大の攻撃対象となっています 。

攻撃パターンは様々ですが、いくつかの弱点が繰り返し突かれています。11万6,500枚の偽造rsETHトークンを生成したKelpDAO攻撃 や、準備金から資金を送金させたVerusブリッジハッキング など、最大級の被害をもたらしたのは偽造クロスチェーンメッセージを用いた攻撃です。

また、IoTeX ioTubeブリッジ攻撃のような秘密鍵の漏洩 や、CrossCurveハッキングのようなスマートコントラクトのロジック欠陥 も依然として大きな脅威です。SquidRouterModuleの事例は、これらに加え「サードパーティ製ウォレットモジュールの権限を悪用し、既存のセキュリティフレームワークを無力化する」という新たな攻撃パターンを追加しました 。

盗まれた資金の現在

2026年5月25〜26日時点の最新情報によると、約307万DAIに相当する盗難資金は攻撃者のウォレットに留まっており、凍結、回収、返還のいずれも報告されていません 。攻撃者のアドレスはTornado Cashを通じて資金提供されており、これは取引資金の出所を隠蔽するためにDeFi（分散型金融）の攻撃者によって一般的に使用される手法です 。公に報じられた逮捕者や資金移動の情報もありません。

この事件は、DeFiセキュリティにおける根深い課題を浮き彫りにしています。十分に監査されたウォレットインフラであっても、ユーザーが十分なセキュリティ検証を行わずに統合したサードパーティ製モジュールを通じて侵害されうるのです。Gnosis Safeユーザーにとって教訓は明白です。Safeに追加するモジュールはすべて攻撃対象領域を拡大し、モジュールの脆弱性はSafeの堅牢なマルチシグ（複数署名）保護を無効化しうるという点です。