Творці кросчейн-протоколу Squid спростовують свою причетність до контракту SquidRouterModule, з якого було викрадено кошти на суму близько 3 мільйонів доларів. Цей інцидент був виявлений експертами компанії Blockaid.
🚨 Blockaid detected an ongoing exploit targeting the SquidRouterModule on Ethereum and Base.
86 Gnosis Safes drained for ~$3M in ~2 hours.
All stolen tokens swapped to DAI via attacker-controlled Uniswap V3 pools.
More details in 🧵— Blockaid (@blockaid_) May 25, 2026
Згідно з їхніми даними, атака зачепила 86 гаманців у блокчейнах Ethereum та Base. Про це також повідомили у видання PeckShieldAlert. Зловмисник поповнив свій рахунок на 2,1 ETH через Tornado Cash, а потім конвертував привласнені активи у 3 мільйони DAI.
Представники Squid зазначили, що зловмисники змогли отримати контроль над зовнішнім модулем Gnosis Safe. Хоча вразливий контракт у реєстрі Basescan позначений як SquidRouterModule, він не має жодного відношення до основного продукту Squid. Це сторонній продукт у форматі смарт-контрактного гаманця, який вирішив інтегруватися з Squid.
This incident is unrelated to Squid’s core protocol and contracts. All Squid users and integrators are unaffected and no action is needed.
A third-party Gnosis Safe module was exploited today across Base and Ethereum, resulting in approximately $3.2M in losses. The vulnerable… https://t.co/I3gGmdBvE9
— squid (@squidrouter) May 25, 2026
«Інцидент став можливим через те, що сторонній модуль сприймав наданий фіксований рядок як підтвердження безпеки повідомлення. При його передачі ставало можливим виконання довільного масиву даних виклику і, відповідно, викрадення коштів», — повідомили розробники.
Власники гаманців додали цей незахищений контракт до списку довірених модулів, що дозволило йому використовувати будь-які токени без необхідності підпису. Власний протокол маршрутизації Squid (0xce16F69375520ab01377ce7B88f5BA8C48F8D666) має іншу структуру і не зазнав жодних пошкоджень.
«Цей контракт містить наше ім’я, але не наш код», — підкреслили в Squid.
Фінансування
Напередодні інциденту Squid повідомили про успішне залучення 6 мільйонів доларів. Проєкт є інфраструктурною платформою для кросчейн-взаємодії, яка спочатку розвивалася в рамках екосистеми Axelar.
We are proud to announce that Squid has raised $6M in funding round led by North Island Ventures and backed by strategic investors!
Our new chapter has begun, with more news coming soon. Today we celebrate and say thank you. CHEERS 💫 pic.twitter.com/4xzUCt8eEa
— squid (@squidrouter) May 22, 2026
Інвестиційний раунд очолила компанія North Island Ventures, за участю таких стратегічних інвесторів, як Ripple, Dialectic та Borderless.
Загальна сума залучених коштів проєктом становить 13,5 мільйонів доларів, враховуючи попередні раунди фінансування на 3,5 мільйони доларів у 2023 році та 4 мільйони доларів у 2024 році.
З моменту запуску платформи у 2023 році через неї було здійснено понад 4 мільйони операцій на загальну суму понад 6 мільярдів доларів. Власний додаток та інтеграції з партнерами обслуговують близько 1 мільйона користувачів.
Squid отримує дохід від надання корпоративних послуг та планує запровадити комісію за транзакції. Інструменти платформи забезпечують переказ активів між різними блокчейнами, такими як Bitcoin, Ethereum, Solana, Cosmos та XRP Ledger.
Розробники XRP Ledger є офіційним партнером Squid у сфері створення міжмережевих мостів. Вони також керують валідатором у мережі та беруть участь в управлінні проєктом.
Нагадаємо, у квітні невідомий зловмисник використав вразливість у смарт-контракті кросчейн-моста Hyperbridge, здобув права адміністратора і випустив 1 мільярд токенів DOT.