Une faille dans un module tiers de Gnosis Safe a permis à un attaquant de voler 3,2 millions de dollars en deux heures, touchant 86 portefeuilles multisig et soulevant des questions urgentes sur la sécurité des architectures composites en finance décentralisée.
🔑 En bref
- 3,2 millions de dollars volés via un faux module SquidRouterModule sur 86 portefeuilles Gnosis Safe.
- Vulnérabilité : le module ne validait pas correctement l’identité de l’appelant, permettant des transactions non autorisées.
- Le protocole Squid s’est distancié, confirmant qu’il s’agissait d’un dépôt par un tiers.
- L’exploit a été réalisé en deux heures, avec consolidation des fonds en DAI.
Comment l’exploit a fonctionné
L’attaque a exploité une faille dans la logique de validation des messages du SquidRouterModule. Le module utilisait une chaîne fixe pour la sécurité, visible publiquement, permettant à l’attaquant d’usurper l’identité d’utilisateurs autorisés.
| Étape | Action | Impact |
|---|---|---|
| 1 | Identification de la chaîne de sécurité codée en dur dans le code du contrat | Vulnérabilité exposée |
| 2 | Dépôt de contrats d’exploit pour appeler le DelegateBundler du module | Accès non autorisé obtenu |
| 3 | Drain de 86 portefeuilles et conversion des actifs en DAI via des pools Uniswap contrôlés | 3,2 millions de dollars volés |
« Le module ne vérifiait pas correctement qui l’appelait réellement », a expliqué un chercheur en sécurité de Blockaid. « L’attaquant a injecté des chaînes fournies par l’appelant pour usurper l’identité d’utilisateurs autorisés, trompant effectivement le module pour exécuter des transactions sans le consentement des propriétaires de portefeuilles. »
Chercheur en sécurité, Blockaid
Confusion de marque et réponse de Squid
Squid, le protocole de routage cross-chain, s’est rapidement distancié du module exploité, affirmant qu’il s’agissait d’un dépôt par un tiers sans lien avec ses contrats principaux.
« Cet incident est sans lien avec le protocole principal et les contrats de Squid. Tous les utilisateurs et intégrateurs de Squid ne sont pas concernés et aucune action n’est nécessaire. »
Déclaration officielle de Squid
Implications pour les utilisateurs de Gnosis Safe
L’exploit met en lumière les risques de l’architecture modulaire de Gnosis Safe, où des modules défectueux peuvent contourner la sécurité multisig.
Recommandations de sécurité
- Révoquer immédiatement les permissions du module SquidRouterModule sur tout portefeuille concerné.
- Activer uniquement des modules provenant de sources fiables et auditées.
- Examiner régulièrement les modules ayant accès aux portefeuilles.
Paysage de sécurité DeFi plus large
Les exploits DeFi ont dépassé 770 millions de dollars en 2026, cet incident soulignant le besoin de meilleurs mécanismes de vérification et de réponse rapide.
Leçons pour l’industrie
Les leçons clés incluent l’importance de la diligence raisonnable pour les utilisateurs de modules et la nécessité de standards de sécurité à l’échelle de l’industrie.
Conclusion
L’exploit de Gnosis Safe rappelle que la composabilité en DeFi doit être associée à des pratiques de sécurité robustes pour protéger les fonds des utilisateurs. Les protocoles comme Squid, bien que non directement touchés, subissent des dommages de réputation, tandis que l’écosystème doit renforcer la diligence et la réponse aux incidents.
Sources
- Coinacademy.fr
- Crypto Briefing
- crypto.news
- Crypto Briefing
- Blockaid (X), alerte d’exploit active, 25 mai 2026
- PeckShield (X), analyse de l’attaque et flux de fonds, 25 mai 2026
- Déclaration officielle de Squid sur X (@squidrouter), 25 mai 2026
Cet article est publié à titre informatif et éducatif. Il ne constitue en aucun cas un conseil en investissement. Faites vos propres recherches (DYOR) avant toute décision.
