Los usuarios de Gnosis Safe pierden $3.2M en un exploit de Base y Ethereum

Las advertencias de seguridad emitidas el 25 de mayo de 2026 indican que aproximadamente 3,2 millones de dólares han sido sustraídos de 86 Gnosis Safes en tan solo dos horas. Esto ocurrió a través de las redes blockchain Base y Ethereum. La vulnerabilidad explotó un smart contract denominado "SquidRouterModule." Esto generó confusión inmediata en la comunidad cripto debido a su nombre similar al de la red oficial Squid Router.

Según los informes, los fondos robados fueron convertidos instantáneamente en aproximadamente 3 millones de dólares en tokens DAI a través de los pools de Uniswap V3 controlados por el atacante. El hacker utilizó la dirección de cartera 0xA447…54859, a la que previamente se le enviaron 2,1 ETH a través de TornadoCash.

86 Gnosis Safes afectados en un nuevo hackeo

Empresas de seguridad como PeckShield y Blockaid fueron las primeras en detectar este exploit. En el informe de PeckShield se proporcionaron los detalles del exploit de SquidRouterModule, junto con el flujo real de fondos. Esto incluyó no solo el uso de TornadoCash, sino también el intercambio de todos los tokens por DAI.

En su informe, Blockaid mencionó que 86 Gnosis Safes habían sido explotados en menos de dos horas, y todos los tokens fueron intercambiados utilizando pools de liquidez controlados por el atacante. Previamente, los usuarios habían autorizado estos contratos dentro de sus Gnosis Safes con privilegios elevados, sin requerir firmas de los usuarios.

La causa raíz reside en el diseño del propio módulo Gnosis Safe de terceros. El contrato, auditado por Basescan y denominado SquidRouterModule, aceptaba una cadena inmutable proporcionada por el llamante como prueba de seguridad del mensaje.

Como esta cadena era claramente visible en el código fuente disponible públicamente, se hizo posible eludir todas las medidas de seguridad. Tras la provisión de la cadena, el módulo permitía la ejecución de calldata proporcionado dentro de un array.

El hecho de que el módulo ya hubiera sido incluido en la lista blanca como un Safe Module legítimo por las víctimas permitió al atacante retirar fondos de los Gnosis Safes independientemente del tipo de token. El contrato legítimo de Squid Router (0xce16F69375520ab01377ce7B88f5BA8C48F8D666) utiliza una arquitectura completamente diferente y no se ha visto afectado por este ataque.

Squid Router se deslinda del incidente de hackeo

La cuenta oficial de X de Squid Router no tardó en aclarar la situación. En su comunicado, la empresa dejó claro que el contrato explotado no fue construido, desplegado ni gestionado por Squid. Fue identificado como una billetera inteligente por un tercero que decidió integrarse con Squid y otros proyectos, pero que nunca contactó al equipo de Squid.

El equipo explicó que no hay nada relacionado con el protocolo central de Squid ni con sus contratos en relación con este incidente. Además, no todos los usuarios e integradores de Squid están afectados. Asimismo, Squid destacó que la información pública inicial podría referirse erróneamente a SquidRouter basándose únicamente en el nombre del contrato explotado disponible en Basescan.

El CZ de Binance insta a los desarrolladores a solucionar los problemas del hackeo

Como clara señal de cuán vulnerable se ha vuelto el espacio cripto en su cadena de suministro, el fundador de Binance, Changpeng Zhao (también conocido como CZ), ha instado a los desarrolladores a cambiar sus claves API tras una filtración de datos en GitHub.

Según informó Cryptopolitan, CZ señaló que si los usuarios tienen claves API en su código, incluso en repositorios privados, es el momento de verificarlas y cambiarlas. Esto se debe al riesgo de exposición de las claves API en caso de una brecha, ya que podrían ser utilizadas por bots de trading, protocolos DeFi, plataformas de análisis y otros servicios relacionados.

No te limites a leer noticias cripto. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.