Hackeo en Ethereum y Base drena más de USD $3 millones desde 86 Gnosis Safes vinculados a módulo “SquidRouter”

Un presunto fallo en el módulo SquidRouterModule desató un exploit en Ethereum y Base que terminó con 86 Gnosis Safes vaciados y pérdidas cercanas a USD $3 millones. Mientras Blockaid señaló una posible vulnerabilidad en la función executeSameChainActions(), Squid aseguró que su protocolo central y sus contratos no resultaron afectados.

***

• Blockaid reportó un exploit en curso que afectó 86 Gnosis Safes en Ethereum y Base en unas dos horas.
• Los fondos robados, estimados en más de USD $3 millones, fueron convertidos a DAI mediante pools de Uniswap V3 controlados por el atacante.
• Squid afirmó que el incidente involucra a un módulo de Safe de un tercero y sostuvo que los usuarios e integradores de su protocolo central no deben tomar acciones.

Un nuevo incidente de seguridad volvió a sacudir al ecosistema de finanzas descentralizadas (DeFi) luego de que un exploit afectara decenas de Gnosis Safes en Ethereum y Base, dejando pérdidas estimadas de más de USD $3 millones en apenas unas horas.

La alerta inicial fue emitida por la firma de seguridad Blockaid, que reportó un exploit activo dirigido contra un contrato identificado como “SquidRouterModule”. Según la investigación preliminar, el ataque comprometió 86 Safes y permitió a los atacantes ejecutar swaps arbitrarios para vaciar fondos desde las bóvedas afectadas.

El caso atrajo rápidamente atención dentro de la industria porque involucra infraestructura ampliamente utilizada para custodia avanzada y operaciones Web3. Los Safe —anteriormente conocidos como Gnosis Safe— son una de las soluciones multisig y smart wallet más utilizadas en Ethereum y otras redes EVM.

Sin embargo, Squid —el protocolo de interoperabilidad cross-chain cuyo nombre aparecía asociado al contrato— negó que el incidente afectara su infraestructura principal y sostuvo que el módulo explotado era un producto independiente de terceros que simplemente había integrado tecnología relacionada con Squid.

Cómo funcionó el exploit

Según Blockaid, la causa raíz sospechosa apunta a una vulnerabilidad dentro de la función executeSameChainActions() del contrato SquidRouterModule.

El atacante habría desplegado contratos maliciosos basados en Foundry —un popular framework de desarrollo para Ethereum— que explotaban la ruta DelegateBundler del módulo vulnerable.

De acuerdo con la reconstrucción técnica, esa ruta permitió al atacante hacerse pasar por delegados autorizados dentro de los Safes afectados, obteniendo capacidad para ejecutar swaps arbitrarios desde las bóvedas sin necesidad de firmas legítimas.

En la práctica, el exploit permitió intercambiar activos reales almacenados dentro de los Safe por un token sin valor creado por el propio atacante, denominado “u”.

Posteriormente, los activos robados fueron convertidos a DAI mediante pools de Uniswap V3 previamente preparados y controlados por el explotador. Tras completar los swaps, el atacante retiró liquidez de esos pools y consolidó aproximadamente USD $3,07 millones en DAI dentro de una billetera identificada parcialmente como “0xa447…54859”.

PeckShield añadió además que los 2,1 ETH utilizados inicialmente para financiar el exploit provenían de Tornado Cash, el mixer basado en Ethereum frecuentemente utilizado para ocultar origen de fondos.

Un problema de permisos y módulos delegados

Para entender el incidente, es importante comprender cómo funcionan los módulos dentro de Safe.

Los Safe permiten extender funcionalidades mediante contratos externos capaces de automatizar operaciones, delegar permisos o integrar lógica adicional para aplicaciones DeFi y cross-chain.

Esa arquitectura composable ofrece gran flexibilidad para usuarios avanzados e integradores, pero también amplía la superficie de ataque cuando uno de esos módulos contiene errores críticos de validación o privilegios excesivos.

En este caso, el módulo vulnerable aparentemente aceptaba una cadena constante proporcionada por el propio llamador como prueba de autenticidad del mensaje. Según Squid, esa cadena podía encontrarse públicamente dentro del código verificado del contrato.

Si el atacante proporcionaba correctamente ese string, podía ejecutar calldata arbitraria y mover cualquier token almacenado dentro de los Safe afectados sin necesidad de firmas adicionales.

La referencia a DelegateBundler sugiere además un fallo particularmente delicado relacionado con delegación de permisos y ejecución autorizada, uno de los componentes más sensibles dentro de arquitecturas smart wallet.

Squid intenta distanciarse del incidente

Tras las primeras publicaciones públicas, Squid emitió varios comunicados intentando aclarar que el exploit no afectó al protocolo principal ni a sus contratos oficiales.

“El contrato llamado SquidRouterModule no está relacionado con Squid. Todavía no sabemos quién escribió o desplegó esto”, afirmó el cofundador pseudónimo del proyecto, Fig.

This incident is unrelated to Squid’s core protocol and contracts. All Squid users and integrators are unaffected and no action is needed.

A third-party Gnosis Safe module was exploited today across Base and Ethereum, resulting in approximately $3.2M in losses. The vulnerable… https://t.co/I3gGmdBvE9

— squid (@squidrouter) May 25, 2026

El protocolo insistió en que su router oficial —identificado como 0xce16F69375520ab01377ce7B88f5BA8C48F8D666— posee una arquitectura completamente distinta y no fue comprometido.

Squid también sostuvo que los usuarios e integradores de su protocolo principal no necesitan realizar ninguna acción, ya que aprobaciones, contratos y fondos asociados a la plataforma permanecen seguros.

El proyecto reconoció que algunos reportes iniciales podían resultar confusos debido a que el contrato vulnerable utilizaba el nombre “SquidRouter”, pero insistió en que el código no pertenecía a su equipo ni fue desplegado por la organización.

Según la versión del protocolo, el módulo explotado era un producto independiente que eligió integrarse con Squid y otros servicios cross-chain sin mantener contacto directo con el equipo principal.

El incidente refleja riesgos crecientes en infraestructura composable

Más allá de la discusión sobre responsabilidades específicas, el exploit vuelve a evidenciar los desafíos de seguridad asociados a la infraestructura composable dentro de DeFi.

En ecosistemas blockchain modernos, aplicaciones, routers, módulos, bridges y contratos inteligentes suelen integrarse entre sí para ofrecer experiencias más complejas y automatizadas.

Sin embargo, esa interconexión también significa que un fallo en un componente secundario puede terminar comprometiendo activos almacenados en sistemas ampliamente utilizados.

El incidente también pone nuevamente bajo foco al sector de interoperabilidad cross-chain, históricamente uno de los segmentos más golpeados por exploits y vulnerabilidades multimillonarias.

Paradójicamente, Squid había anunciado recientemente una ronda estratégica de USD $6 millones liderada por North Island Ventures, con participación de Ripple, Dialectic y Borderless.

Además, Fig aseguró la semana pasada a The Block que Squid había completado nueve auditorías de seguridad independientes, mantenido 99,99% de uptime y registrado cero exploits sobre su protocolo principal hasta ahora.

DeFi continúa acumulando pérdidas millonarias

El ataque se suma a una larga lista de incidentes de seguridad registrados este año dentro del ecosistema DeFi.

Según datos citados por The Block, el sector acumula más de USD $770 millones en pérdidas durante 2026, mientras abril registró cerca de 30 incidentes y más de USD $630 millones drenados, convirtiéndose en uno de los peores meses recientes para seguridad cripto.

La situación refleja cómo, pese a avances en auditorías, monitoreo onchain y herramientas de detección, la complejidad creciente de contratos inteligentes continúa generando nuevos vectores de ataque.

Para usuarios avanzados y equipos de desarrollo, el incidente funciona además como recordatorio sobre los riesgos asociados a módulos externos con privilegios amplios dentro de billeteras inteligentes.

Por ahora, las investigaciones continúan enfocadas en confirmar el vector exacto del exploit, determinar si existen otros entornos vulnerables y rastrear el destino final de los fondos consolidados en DAI.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín