Gli avvisi di sicurezza emessi il 25 maggio 2026 indicano che circa 3,2 milioni di dollari sono stati sottratti da 86 Gnosis Safe in sole due ore. La vulnerabilità ha sfruttato uno smart contract chiamato "SquidRouterModule", causando immediata confusione nella comunità crypto a causa della somiglianza del nome con quello ufficiale della rete Squid Router.
Secondo quanto riportato, i fondi rubati sono stati immediatamente convertiti in circa 3 milioni di dollari in token DAI tramite i pool Uniswap V3 controllati dall'attaccante. L'hacker ha utilizzato l'indirizzo del portafoglio 0xA447…54859, al quale erano stati precedentemente inviati 2,1 ETH tramite TornadoCash.
86 casseforti Gnosis prese di mira da un nuovo attacco informatico.
Società di sicurezza come PeckShield e Blockaid sono state le prime a individuare questa vulnerabilità. Nel report di PeckShield, sono stati forniti i dettagli dell'exploit SquidRouterModule, insieme al flusso effettivo di fondi. Questo includeva non solo l'utilizzo di TornadoCash, ma anche lo scambio di tutti i token con DAI.
#PeckShieldAlert Il modulo SquidRouterModule è stato sfruttato per rubare circa 3 milioni di dollari di asset.
L'autore del furto, che inizialmente aveva ricevuto 2,1 $ETH da #TornadoCash , ha scambiato i fondi rubati con circa 3 milioni di $DAI . Gli asset rubati si trovano attualmente nel portafoglio dell'autore del furto 0xA447…54859 pic.twitter.com/RAmpIZQhQh— PeckShieldAlert (@PeckShieldAlert) 25 maggio 2026
Nel suo rapporto, Blockaid ha segnalato che 86 Gnosis Safe erano stati compromessi in meno di due ore e che tutti i token erano stati scambiati utilizzando pool di liquidità controllati dall'attaccante. In precedenza, gli utenti avevano autorizzato questi contratti all'interno dei loro Gnosis Safe con privilegi elevati, senza richiedere la firma dell'utente.
La causa principale risiede nella progettazione stessa del modulo di terze parti Gnosis Safe. Il contratto, verificato da Basescan e denominato SquidRouterModule, accetterebbe una stringa immutabile fornita dal chiamante come prova della sicurezza del messaggio.
Poiché questa stringa era chiaramente visibile nel codice sorgente pubblicamente disponibile, è stato possibile aggirare tutte le misure di sicurezza. In seguito all'inserimento della stringa, il modulo consentiva l'esecuzione dei dati di chiamata forniti all'interno di un array.
Il fatto che il modulo fosse già stato inserito nella whitelist come modulo di sicurezza legittimo dalle vittime ha permesso all'attaccante di prelevare fondi dalle casseforti Gnosis indipendentemente dal tipo di token. Il contratto legittimo di Squid Router (0xce16F69375520ab01377ce7B88f5BA8C48F8D666) utilizza un'architettura completamente diversa e non è stato interessato da questo attacco.
Squid Router prende le distanze dall'incidente hacker
L'account ufficiale di Squid Router su X non ha tardato a chiarire la situazione. Nella sua dichiarazione, l'azienda ha precisato che il contratto sfruttato non era stato creato, distribuito o gestito da Squid. Era stato identificato come un portafoglio intelligente da una terza parte che aveva deciso di integrarsi con Squid e altri progetti, senza però mai contattare il team di Squid.
Il team ha spiegato che questo incidente non ha nulla a che vedere con il protocollo Squid principale o i suoi contratti. Inoltre, non tutti gli utenti e gli integratori di Squid sono interessati. Squid ha inoltre sottolineato che le prime informazioni pubbliche potrebbero erroneamente riferirsi a SquidRouter basandosi unicamente sul nome del contratto sfruttato disponibile su Basescan.
CZ di Binance chiede agli sviluppatori di risolvere i problemi di hacking
A dimostrazione di quanto il settore delle criptovalute sia diventato sempre più vulnerabile nella sua catena di approvvigionamento, il fondatore di Binance, Changpeng Zhao (noto anche come CZ), ha invitato gli sviluppatori a scambiare le proprie chiavi API in seguito a una violazione dei dati di GitHub.
Come riportato da Cryptopolitan, CZ ha esortato gli utenti che hanno chiavi API nel proprio codice, anche in repository privati, a ricontrollarle e a sostituirle. Ciò è dovuto al rischio che le chiavi API esposte, in caso di violazione dei dati, possano essere utilizzate da bot di trading, protocolli DeFi, piattaforme di analisi e altri servizi correlati.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter .