Эксплойт SquidRouterModule: $3 млн украдено у 86 кошельков Gnosis Safe всего через три дня после рекордных инвестиций Squid

Squid незамедлительно дистанцировалась от скомпрометированного модуля, заявив, что SquidRouterModule — это сторонний модуль для Gnosis Safe, который компания не разрабатывала, не внедряла и не контролирует . Адрес злоумышленника был пополнен через миксер Tornado Cash, а похищенные DAI, по последним данным, до сих пор остаются на его кошельке — ни заморозки, ни возврата средств не произошло .

Как эксплойт обошел защиту Gnosis Safe

Корень атаки лежал в уязвимости функции executeSameChainActions() модуля SquidRouterModule. Эта функция принимала произвольные данные вызова и использовала примитивную проверку на основе фиксированной строки, которую злоумышленник мог легко воспроизвести . Технически атака развивалась по следующему сценарию:

1. Подставные контракты для обмена: Атакующий развернул пулы ликвидности на Uniswap V3, которые выглядели легитимно, но полностью им контролировались .
2. Обход разрешений: Уязвимый модуль позволил злоумышленнику выдать себя за авторизованного представителя, обойдя тем самым нативную проверку мультиподписи в Gnosis Safe .
3. Молниеносный дренаж: В течение примерно двух часов 86 сейфов в сетях Ethereum и Base были опустошены один за другим .
4. Консолидация средств: Все украденные токены были обменены на DAI и отправлены на единый кошелек атакующего, баланс которого составил около 3,07 млн DAI .

Такой вектор атаки — использование слабой верификации в стороннем модуле для обхода защиты кошелька — отличается от других крупных эксплойтов 2026 года, которые в основном полагались на подделку кроссчейн-сообщений .

Три дня от триумфа до инцидента: хронология и последствия

Эксплойт SquidRouterModule произошел в особенно чувствительный момент для бренда Squid:

• 22 мая 2026 года: Squid объявила о стратегическом раунде на $6 млн (общий объем привлеченных средств достиг $13,5 млн) и планах по расширению пользовательских кроссчейн-продуктов .
• 25 мая 2026 года: Blockaid сообщила об эксплойте SquidRouterModule, что мгновенно вызвало путаницу в криптосообществе вокруг названия бренда .

Squid отреагировала в течение нескольких часов, через множество каналов пояснив, что скомпрометированный модуль «не связан со Squid» и структурно полностью отличается от ее основных кроссчейн-контрактов маршрутизации . Компания подчеркнула, что ни средства пользователей Squid, ни ее основные протоколы не пострадали . Столь быстрая защита бренда была необходима, поскольку название модуля создавало прямую ассоциацию со Squid в публичных отчетах .

2026 год: рекордные убытки от взломов кроссчейн-мостов

Инцидент с SquidRouterModule — лишь последнее звено в череде разрушительных атак на кроссчейн-протоколы, которые сделали 2026 год худшим в истории безопасности мостов:

Согласно данным компании по безопасности блокчейнов PeckShield, к середине мая 2026 года в результате восьми крупных взломов, связанных с мостами, из кроссчейн-протоколов было украдено в общей сложности $328,6 млн . Суммарный ущерб от хакерских атак на криптоиндустрию по всем категориям к концу мая превысил $750 млн, и мосты остаются главным вектором атак .

Схемы атак различаются, но все они обнажают повторяющиеся уязвимости. Подделка кроссчейн-сообщений лежала в основе крупнейших эксплойтов, включая атаку на KelpDAO, в ходе которой было выпущено 116 500 поддельных токенов rsETH , и взлом моста Verus, когда протокол обманом заставили отправить средства из резервов . Компрометация приватных ключей (как в случае с мостом IoTeX ioTube ) и логические ошибки в смарт-контрактах (как при взломе CrossCurve ) остаются постоянными угрозами. Эксплойт SquidRouterModule добавляет в этот список новую схему: злоупотребление разрешениями сторонних модулей кошельков для обхода устоявшихся систем безопасности .

Текущий статус украденных средств

По последним сообщениям от 25–26 мая 2026 года, около 3,07 млн DAI остаются на кошельке злоумышленника. Никаких сообщений о заморозке, возврате средств или арестах не поступало . Адрес атакующего был пополнен через Tornado Cash — криптовалютный миксер, часто используемый в DeFi-эксплойтах для сокрытия происхождения средств .

Этот инцидент подчеркивает одну из главных проблем безопасности DeFi: даже хорошо проверенная инфраструктура кошелька может быть скомпрометирована через сторонние модули, которые пользователи интегрируют без тщательной проверки их свойств безопасности. Для пользователей Gnosis Safe урок очевиден: каждый добавленный модуль расширяет поверхность для атаки, и его уязвимости могут свести на нет надежную защиту мультиподписей.