Exploit en Safe por módulo de terceros drena $3.2 millones en Ethereum y Base

Un exploit que involucra un módulo de terceros ha drenado aproximadamente $3.2 millones de billeteras Safe en las redes Ethereum y Base. El ataque afectó al menos a 86 cuentas Safe en un lapso de aproximadamente dos horas, y fue provocado por una vulnerabilidad en un contrato llamado «SquidRouterModule», que no forma parte del protocolo principal de Squid ni del producto oficial de Safe Wallet.

Detalles del ataque y atribución inicial

La plataforma de seguridad blockchain Blockaid reportó el incidente el lunes. El exploit involucró un contrato etiquetado como «SquidRouterModule», lo que inicialmente sugirió un posible vínculo con el protocolo de interoperabilidad entre cadenas Squid. Sin embargo, Squid declaró en redes sociales que el problema no está relacionado con su protocolo principal.

«Se explotó un SquidRouterModule de terceros, no el contrato Router de Squid», afirmó la empresa en un comunicado publicado en X (anteriormente Twitter).

La compañía subrayó que el contrato explotado comparte el nombre, pero no el código del protocolo oficial. Según Blockaid, el atacante intercambió todos los tokens robados a Dai (DAI) a través de pools de Uniswap V3 controlados por él mismo.

La vulnerabilidad técnica y las billeteras afectadas

Safe, anteriormente conocido como Gnosis Safe, es una billetera multisig que requiere un número mínimo de aprobaciones para ejecutar una transacción. Su funcionalidad puede ampliarse con módulos opcionales, contratos inteligentes que permiten que código aprobado ejecute acciones en nombre de la billetera.

La causa raíz del exploit fue una vulnerabilidad en el módulo SquidRouterModule que, según Blockaid, permitió al atacante suplantar a delegados autorizados. Esto activó intercambios de tokens no autorizados dentro de las billeteras afectadas. De acuerdo con datos de la firma de seguridad PeckShieldAlert, el exploit comprometió 86 billeteras Gnosis Safe por un valor total de $3 millones en aproximadamente dos horas.

La respuesta de Safe Labs y atribución de responsabilidad

Rahul Rumalla, CEO de Safe Labs, declaró que las cuentas afectadas «no parecen ser operadas por el producto oficial Safe Wallet». Quedó sin aclarar cómo y dónde fueron creadas y gestionadas esas cuentas, aunque se sospecha que fueron creadas a través de integraciones externas desplegadas por terceros.

Safe Wallet expone estos riesgos a través de «Safe Shield», una función diseñada para señalar módulos potencialmente maliciosos o no verificados. El CEO confirmó que el módulo explotado ya había sido señalado como malicioso por Blockaid, y que esa advertencia estaba incluida en el conjunto de reglas de detección de Safe Shield.

Al momento de la publicación, ni Safe ni su CEO respondieron a las solicitudes de comentario de este medio.