Veja como atacantes drenaram $3.2M de carteiras Safe na Ethereum e Base

Uma vulnerabilidade ligada a um módulo de carteira Safe de terceiros levou ao roubo de cerca de $3.2 million na Ethereum e Base, depois que atacantes exploraram permissões de execução delegada para drenar dezenas de contas inteligentes em aproximadamente duas horas.

A empresa de segurança blockchain Blockaid disse que o exploit mirou um contrato identificado como SquidRouterModule, afetando pelo menos 86 carteiras Gnosis Safe, antes que os ativos roubados fossem convertidos em Dai por meio de pools Uniswap V3 controlados pelos atacantes.

Dados compartilhados pela firma mostraram que o atacante consolidou posteriormente os proventos em uma carteira contendo aproximadamente 3.07 million DAI.

Registros on-chain vinculados pelo Blockaid identificaram o endereço do explorador como 0x9bdc730183821b6bb2b51be30b77c964fa645b91. 

Dados do Etherscan citados pela Lookonchain mostraram que o endereço foi financiado via Tornado Cash e registrou 52 transações em May 25.

A mesma investigação rastreou, por exemplo, uma transação de drenagem executada às 06:25 UTC, em que ativos roubados, incluindo USDC, ENA e USDT, foram roteados por pools de liquidez Uniswap V3 antes da conversão.

Como o exploit foi executado?

Descobertas iniciais do Blockaid sugerem que o exploit teve origem em uma falha dentro da função executeSameChainActions() do módulo de terceiros, e não na infraestrutura principal do Safe. 

Segundo a firma, o atacante implantou contratos de exploit baseados em Foundry que abusaram do caminho de execução DelegateBundler do módulo para se passar por delegados autorizados vinculados às carteiras vítimas.

Uma vez contornadas as verificações de validação, o atacante pôde acionar swaps arbitrários diretamente das Safes afetadas sem precisar das aprovações multissig normais exigidas pelo sistema de carteira. 

O Blockaid afirmou que o exploit permitiu ao atacante trocar ativos legítimos por um token sem valor criado pelo invasor identificado como “u”, antes que a liquidez fosse removida e os proventos fossem convertidos em DAI.

Suspeita de personificação de delegado no exploit do módulo

Uma análise técnica adicional compartilhada por Cos, fundador da SlowMist, sugeriu que o problema não estava ligado a chaves privadas comprometidas. 

Em uma publicação traduzida no X, Cos disse que as carteiras vítimas amostradas estavam, em sua maioria, configuradas como Safes de assinatura única pertencentes a usuários distintos, enquanto a fraqueza real parecia vir de módulos de carteira vulneráveis anexados a essas contas.

De acordo com Cos, os atacantes conseguiram forjar mensagens e contornar as verificações dos módulos, permitindo operações de resgate e transferência não autorizadas a partir das carteiras Safe alvo. 

O pesquisador também apontou para a mesma carteira de consolidação identificada pelo Blockaid, onde os fundos roubados foram supostamente liquidados.

Carteira do atacante com DAI. Fonte: Etherscan.

O exploit basicamente dependia de como módulos Safe operam dentro de carteiras inteligentes. 

Ao contrário de transações padrão do Safe, que exigem múltiplas aprovações de proprietários, módulos podem executar ações diretamente uma vez que os usuários lhes concedem permissões confiáveis. 

A falha dentro do SquidRouterModule aparentemente decorreu de validação de identidade inadequada, o que alegadamente permitiu que cargas maliciosas se passassem por delegados aprovados.

Como o módulo já possuía amplas permissões de execução dentro das carteiras conectadas, as requisições forjadas foram tratadas como instruções legítimas pelos próprios contratos Safe.

Carteiras afetadas não vinculadas ao Safe

O CEO da Safe Labs, Rahul Rumalla, disse posteriormente que as contas comprometidas “do not seem to be operated on official Safe Wallet product,” acrescentando que os investigadores ainda não sabem onde as carteiras foram originalmente criadas e gerenciadas.

Rumalla afirmou que as carteiras afetadas provavelmente foram implantadas via integrações externas em vez da interface oficial do Safe.

Rumalla também disse que o Safe Shield, o sistema de alerta incorporado da empresa alimentado pelo Blockaid, já havia identificado o módulo como malicioso antes do incidente.

Segundo ele, o sistema de proteção alerta os usuários quando módulos ou guards não verificados solicitam permissões perigosas.

Squid nega envolvimento

Enquanto isso, a Squid negou que sua própria infraestrutura de roteamento ou contratos principais tenham sido violados. 

Em um comunicado publicado no X, a equipe disse que o contrato explorado apenas compartilhava o nome SquidRouterModule e não tinha conexão com a arquitetura do roteador de produção da Squid.

O protocolo acrescentou que todos os usuários e integradores da Squid permaneceram sem impacto, descrevendo o incidente como um exploit de módulo de carteira inteligente de terceiros não relacionado aos contratos ou serviços oficiais da Squid.

O ataque se somou a uma lista crescente de incidentes de segurança em DeFi reportados em 2026. 

Como previamente reportado pelo Invezz, na semana passada, o Echo Protocol sofreu um exploit no Monad após atacantes cunharem cerca de $76.7 million em tokens eBTC não autorizados, em um caso que pesquisadores depois ligaram a um comprometimento de chave de admin. 

Investigadores nesse caso também disseram que a própria blockchain não foi violada, enquanto controles operacionais fracos em torno de permissões delegadas e autoridade de cunhagem permitiram que o exploit escalasse.