Une vulnérabilité dans le SquidRouterModule — un module tiers intégré à Safe — a permis à un attaquant de vider environ 3,2 millions de dollars des portefeuilles Safe sur Ethereum et Base cette semaine. L'exploitation ciblait les utilisateurs qui avaient approuvé le module, siphonnant les fonds avant que l'attaque ne soit détectée. Squid, l'équipe derrière le module, et Safe Labs ont tous deux publiquement décliné toute responsabilité, laissant les utilisateurs concernés dans l'incertitude.
Comment l'exploitation a fonctionné
Le SquidRouterModule est un outil de routage inter-chaînes que les utilisateurs de Safe pouvaient ajouter à leurs portefeuilles. Un attaquant a trouvé un moyen d'abuser des permissions du module, retirant des actifs des portefeuilles ayant des approbations actives. Le butin de 3,2 millions de dollars a été réparti entre Ethereum et Base — les deux réseaux où le module était le plus actif.
Qui est tenu pour responsable ?
Ni Squid, ni Safe Labs. Les deux équipes ont publié des déclarations se désolidarisant de toute responsabilité. Safe Labs a souligné que le module est un logiciel tiers, ne faisant pas partie du contrat principal de Safe. Squid a avancé que le module lui-même n'était pas compromis — l'exploitation provenait de la manière dont les utilisateurs interagissaient avec lui. Cette opposition signifie qu'aucune partie centrale ne s'est présentée pour rembourser les victimes.
Ce que les utilisateurs doivent vérifier maintenant
Si vous avez déjà approuvé le SquidRouterModule sur un portefeuille Safe, vos fonds peuvent encore être en danger. L'exploitation est active et n'a pas été corrigée — l'attaquant peut frapper à nouveau. Les chercheurs en sécurité recommandent de révoquer immédiatement les approbations du module et de transférer les actifs vers un nouveau Safe sans le module activé. Les dégâts s'élèvent actuellement à 3,2 millions de dollars, mais ce montant pourrait augmenter si les utilisateurs n'agissent pas.
La question de savoir qui couvrira les pertes — si quelqu'un le fait — reste sans réponse.
