El 25 de mayo de 2026, alertas de seguridad revelaron un importante ataque dirigido a las redes Base y Ethereum, llevando al robo de $3,2 millones en criptoactivos desde 86 diferentes billeteras Gnosis Safe en menos de dos horas. La violación se rastreó hasta una vulnerabilidad en un contrato inteligente “SquidRouterModule”, lo que causó gran confusión en la comunidad debido a su similitud con la red oficial de Squid Router.
Detalles de la violación y el método del hacker
Las principales firmas de seguridad blockchain PeckShield y Blockaid identificaron rápidamente el ataque. Según el informe de PeckShield, el hacker primero obtuvo 2,1 ETH a través de TornadoCash, luego rápidamente convirtió los activos robados en casi 3 millones de tokens DAI a través de pools en Uniswap V3. La dirección de la billetera utilizada en la explotación también fue hecha pública.
PeckShield informó que el atacante explotó una vulnerabilidad en el SquidRouterModule para convertir aproximadamente $3 millones en activos a DAI, almacenando los fondos robados en una billetera que comienza con 0xA447.
El análisis de Blockaid destacó que 86 billeteras Gnosis Safe fueron comprometidas en un periodo de tiempo muy corto. Los usuarios afectados anteriormente habían otorgado permisos extendidos al contrato, lo que significaba que no se requerían firmas para las transferencias, permitiendo que la explotación tuviera éxito rápidamente.
Fallo de SquidRouterModule y antecedentes técnicos
La raíz del incidente se encontraba en un módulo Gnosis Safe creado por un desarrollador externo. El contrato inteligente “SquidRouterModule”, que fue verificado en Basescan, aceptaba una cadena inmutable enviada por el llamador como una supuesta prueba de seguridad.
Mini glosario: Gnosis Safe – Una solución popular de billetera criptográfica conocida por su característica de multisig (múltiples firmas), proporcionando seguridad adicional para los fondos de los usuarios. Los módulos autorizados son complementos que pueden eludir los requisitos normales de firma.
Dado que esta cadena era visible en el código de fuente abierta, los atacantes podían eludir fácilmente las verificaciones de seguridad. Dado que las víctimas ya habían incluido este módulo en la lista blanca como un “módulo Safe de confianza”, los piratas informáticos pudieron drenar cualquier cantidad de activos de sus billeteras Gnosis Safe. La arquitectura del contrato oficial de Squid Router, que también fue mencionada, es completamente diferente y no se vio afectada por la violación.
Squid Router aclara: No hay conexión con el ataque
Después de la confusión en el desenlace, la cuenta oficial de redes sociales de Squid Router emitió una rápida declaración. Aclararon que el módulo atacado no fue desarrollado, implementado ni mantenido por el equipo de Squid. El módulo problemático pertenecía a un proveedor de billeteras de terceros no relacionado que buscaba integrarse con Squid y otros proyectos.
El anuncio afirmó enfáticamente que el protocolo central de Squid y sus contratos asociados no están afectados por la vulnerabilidad. También aseguró a los usuarios que ni los usuarios de Squid ni sus servicios conectados están en riesgo. La compañía enfatizó la necesidad de atribuir correctamente dichas vulnerabilidades a sus fuentes reales, para evitar confusiones debido a nombres similares.
Fundador de Binance emite alerta crítica de seguridad a desarrolladores
Con las vulnerabilidades de la cadena de suministro de software en aumento en el espacio cripto, el fundador de Binance, Changpeng Zhao (CZ), emitió una advertencia crucial a los desarrolladores tras una nueva violación de seguridad. Después de una filtración de datos en Github, CZ enfatizó la importancia de revisar y rotar las claves API para usuarios y desarrolladores.
CZ destacó que las claves API incrustadas en el código para bots de comercio, aplicaciones de finanzas descentralizadas y plataformas de análisis, incluso cuando se almacenan de forma privada, pueden suponer un riesgo si se filtran. Instó a los desarrolladores a revisar y renovar regularmente dichas claves, independientemente de si se mantienen en repositorios privados.
