Ein Drittanbieter-Gnosis-Safe-Modul wurde über Ethereum und Base hinweg ausgenutzt, wobei innerhalb von etwa zwei Stunden rund 3,2 Millionen US-Dollar aus 86 Safes abgezogen wurden, wie die Sicherheitsfirmen Blockaid und PeckShield berichteten.
Der anfällige Vertrag, auf Basescan unter dem Namen "SquidRouterModule" verifiziert, wurde nicht vom Cross-Chain-Protokoll Squid erstellt, bereitgestellt oder betrieben.
"Der Vertrag namens SquidRouterModule hat nichts mit Squid zu tun. Wir wissen noch nicht, wer diesen geschrieben oder bereitgestellt hat", schrieb der pseudonyme Squid-Mitbegründer Fig auf X. Sein Kern-Router sei architektonisch getrennt und unberührt geblieben, fügte die offizielle X-Seite des Projekts hinzu.
Der Exploit funktionierte, weil das Modul eine vom Aufrufer bereitgestellte konstante Zeichenfolge als Beweis dafür akzeptierte, dass eine Nachricht sicher war.
Das Übergeben dieser Zeichenfolge ermöglichte es einem Angreifer, beliebige Calldata auszuführen und alle in den Safes des Opfers gehaltenen Token ohne Signaturen auszugeben, so Squid.
Der Angreifer setzte Foundry-basierte Exploit-Verträge ein, die den DelegateBundler-Pfad des Moduls aufriefen, autorisierte Delegierte auf jedem Safe imitierten und beliebige Swaps über Uniswap V3 Pools auslösten, schrieb Blockaid.
Die Ziel-Assets wurden über vom Angreifer präparierte Uniswap V3 Pools in einen wertlosen, vom Angreifer erstellten Token namens "u" getauscht. Der Angreifer entzog dann den Pools Liquidität und konsolidierte die Erlöse zu rund 3,07 Millionen DAI, die sich nun in einer Wallet mit der Adresse "0xa447...54859" befinden, so PeckShield.
Die anfängliche Finanzierung des Exploits von 2,1 ETH stammte von Tornado Cash, fügte PeckShield hinzu.
Squid erklärte, dass frühe öffentliche Berichte, die sich auf "SquidRouter" bezogen, technisch ungenau waren. Der Vertrag trägt zwar den Squid-Namen, ist aber ein Drittanbieterprodukt, das sich entschieden hat, sich neben anderen Protokollen in Squid zu integrieren, und hatte keinen Kontakt mit dem Team, schrieb das Projekt.
Im Jahr 2026 hat DeFi Verluste von mehr als 770 Millionen US-Dollar verzeichnet, wobei allein der April mit rund 30 Vorfällen und über 630 Millionen US-Dollar an Abzügen einen Rekord aufstellte, wie das Daten-Dashboard von The Block zeigt.
Diagramm erweitern
Squid gab kürzlich bekannt, in einer strategischen Finanzierungsrunde unter der Leitung von North Island Ventures 6 Millionen US-Dollar gesammelt zu haben, wobei auch Ripple, Dialectic und Borderless teilnahmen.
Die Cross-Chain-Interoperabilität ist seit langem einer der schwierigsten Bereiche im Krypto-Sektor, wobei der Sektor im Laufe der Jahre mehrere Bridge-Exploits und Sicherheitsvorfälle erlebt hat. Squid-Mitbegründer Fig erklärte The Block letzte Woche, dass das Projekt bis dato neun unabhängige Sicherheitsaudits abgeschlossen, keine Exploits verzeichnet und eine Verfügbarkeit von 99,99 % aufrechterhalten hat.
Auf die Frage, ob Squid Projekte unterstützen möchte, die ihre Cross-Chain-Infrastruktur nach Problemen an anderer Stelle auf dem Markt neu bewerten, sagte Fig, die Plattform stehe für Gespräche mit Teams offen, die sichere Konnektivität suchen.
Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Kryptobereich. Die Kryptobörse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Kryptoindustrie bereitzustellen. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich zu Informationszwecken. Er wird nicht als rechtliche, steuerliche, Anlage-, Finanz- oder sonstige Beratung angeboten oder ist dazu bestimmt.
