Uma suposta exploração envolvendo um módulo de terceiros da Safe drenou cerca de US$ 3,2 milhões de carteiras nas redes Ethereum e Base, com várias equipes apontando um módulo externo como a causa.
A plataforma de segurança blockchain Blockaid relatou o incidente na segunda-feira, afirmando que ele envolveu um contrato identificado como “SquidRouterModule”, o que inicialmente gerou confusão sobre uma possível ligação com o protocolo cross-chain Squid.
Posteriormente, a Squid afirmou no X que o problema não estava relacionado ao seu protocolo principal, mas sim a um módulo de terceiros integrado às carteiras da Safe.
“Um SquidRouterModule de terceiros foi explorado, e não o contrato Router da Squid”, afirmou a empresa, acrescentando que o contrato compartilha o mesmo nome, mas não o mesmo código.
O incidente destaca como um módulo confiável de carteira pode ser usado para movimentar fundos caso tenha recebido permissões amplas de execução dentro de uma de uma conta inteligente.
86 carteiras Gnosis Safe drenadas em cerca de duas horas
A Safe, anteriormente chamada Gnosis Safe, é uma carteira multisig que opera em várias redes e exige que um número mínimo de usuários aprove uma transação antes de sua execução.
Ela também pode ser expandida com módulos opcionais, que são contratos inteligentes que permitem que códigos aprovados executem ações em nome da carteira.
Segundo a Blockaid, o ataque afetou ao menos 86 contas da Safe em aproximadamente duas horas, com todos os tokens roubados sendo convertidos em Dai (DAI) por meio de pools da Uniswap V3 controladas pelo invasor.
Fonte: PeckShieldAlert
A suspeita é que a causa raiz tenha sido uma vulnerabilidade no SquidRouterModule, que supostamente permitiu ao invasor se passar por delegados autorizados e executar trocas de tokens não autorizadas, segundo a Blockaid.
Atribuição do módulo e resposta da Safe
O CEO da Safe Labs, Rahul Rumalla, afirmou que as contas “não parecem ser operadas no produto oficial Safe Wallet”, acrescentando que ainda não está claro como e onde elas foram criadas e gerenciadas, provavelmente por meio de integrações externas.
Fonte: Rahul Rumalla
Ele afirmou que a Safe Wallet exibe esses riscos por meio do “Safe Shield”, um recurso projetado para sinalizar módulos e proteções potencialmente maliciosos ou não verificados antes de serem utilizados. O CEO acrescentou que o módulo explorado já havia sido sinalizado como malicioso pela Blockaid, que está incluída no conjunto de regras de detecção de risco do Safe Shield.
O Cointelegraph entrou em contato com a Safe e seu CEO para comentar o caso, mas não recebeu resposta até o momento da publicação.