Un exploit chirurgical en moins de deux heures
L'attaque est rapide, méthodique et dévastatrice. En moins de deux heures, 86 wallets Gnosis Safe ont été intégralement vidés sur Ethereum et Base, selon les données remontées par Blockaid. Le butin : 3,07 millions de dollars en DAI, obtenus en swappant les actifs volés via des pools Uniswap V3 préalablement contrôlés par l'attaquant.
Le vecteur d'entrée est précis. Tout utilisateur ayant accordé une approbation au module SquidRouterModule sur son Gnosis Safe a offert à l'attaquant une porte d'accès directe à ses fonds. Pas de phishing classique, pas de fuite de clé privée : une simple permission de module, souvent accordée sans en mesurer la portée, a suffi.
Un mécanisme de blanchiment construit sur mesure
Une fois les fonds drainés, l'attaquant ne s'est pas contenté de fuir. Il a déployé un token fantôme baptisé "u", émis à supply maximum avec seulement 42 holders, pour servir d'outil de blanchiment on-chain. La mécanique est rodée : pré-amorcer des pools Uniswap V3 en pairant ce token aux actifs volés, laisser les swaps s'exécuter, puis retirer la liquidité une fois les fonds convertis en DAI.
C'est un retour de bâton pour les utilisateurs de modules tiers sur Gnosis Safe. La flexibilité modulaire qui fait la force de ce standard multi-sig devient ici le talon d'Achille. Chaque module approuvé élargit la surface d'attaque, souvent de façon invisible pour l'utilisateur final.
Si vous avez interagi avec SquidRouter via un Gnosis Safe, la priorité est de révoquer immédiatement l'approbation du module SquidRouterModule. L'exposition persiste tant que la permission reste active, indépendamment du fait que vos fonds aient déjà été ciblés ou non.
