開始
BlockaidとPeckShieldによると、サードパーティのGnosis SafeモジュールがEthereumとBase間で悪用され、約2時間で86のSafesからおよそ320万ドルを流出させました。脆弱な契約はBasescan上で「SquidRouterModule」という名称で検証されていましたが、クロスチェーン・プロトコルSquidによって構築、デプロイ、運用されたものではありませんでした。Squidの共同創業者FigはXで次のように明確化しました。「SquidRouterModuleと呼ばれるこの契約はSquidとは無関係です。誰が書いたのか、誰がデプロイしたのかはいまだ分かっていません。」このエクスプロイトが成功した理由は、当該モジュールがメッセージが安全であるという「証明」として、呼び出し元が供給した定数文字列を受け入れたためです。これにより攻撃者は、有効な署名なしで被害者のSafesに保管されているトークンを費やし、任意のcalldataを実行できました。このインシデントは、DeFi分野で継続的に存在するセキュリティ上の脆弱性を示しており、2026年には損失が7億7000万ドル超に達しています。さらに4月だけで約30件のインシデントが記録され、流出額は6億3000万ドル超でした。
エクスプロイトの仕組み
脆弱なSquidRouterModuleは、メッセージが安全であるという暗号学的な証明として、呼び出し元が供給した定数文字列を受け付けていました。この文字列を渡すことで、攻撃者は任意のcalldataを実行し、被害者のSafesに保管されている任意のトークンに有効な署名を必要とせずにアクセスできました。
Squidの公式声明によれば、契約の中核となるルーターは構造的に別物であり、エクスプロイトの影響を受けていないとのことです。また、 「SquidRouter」をめぐる早期の公開報告は技術的に不正確だとプロジェクトは強調しました。この契約はSquidという名称を共有していますが、第三者製品であり、他のプロトコルの中でSquidと統合することを選んだもので、チームとは接点がありませんでした。
攻撃者の手口と資金の流れ
攻撃者は、Foundryベースのエクスプロイト契約をデプロイし、モジュールのDelegateBundlerパスを呼び出しました。Blockaidによると、各Safe上で認可されたデリゲートをなりすまし、Uniswap V3プールを通じて任意のスワップを発火させたとのことです。
対象資産は、攻撃者が投入したUniswap V3プールを通じて、攻撃者が作成した価値のないトークン「u」に交換されました。その後攻撃者はプールから流動性を取り除き、得られた資金を約307万DAIへと取りまとめました。このDAIは「0xa447...54859」で始まるウォレットで現在保有されている、とPeckShieldは述べています。
PeckShieldは、悪用者による最初の資金提供2.1 ETHがTornado Cashから得られたことを特定しました。
Squidの対応
Squidは、Squidという名称を冠していますが当該契約はプロトコルとは無関係な第三者製品だと述べました。Figの声明は、関与がないことを強調し、「誰が書いたのか、誰がデプロイしたのかはいまだ分かっていません。」としました。Squidの公式Xページでも、コア・ルーターは構造的に別であり、影響を受けていないと付け加えられています。
Squidの最近の資金調達とセキュリティ主張
Squidは最近、North Island Venturesが主導する600万ドルの戦略的資金調達ラウンドを発表し、Ripple、Dialectic、Borderlessが参加しました。
この資金調達をめぐる協議の中で、SquidのFigはThe Blockに対し、プロジェクトはこれまでに独立したセキュリティ監査を9件完了しており、エクスプロイトは記録されておらず、稼働率は99.99%を維持していると語りました。市場の別の場所でのセキュリティ問題を受けてクロスチェーン基盤を見直しているプロジェクトに対し、Squidがサービスを提供しようとしているのかと尋ねられると、Figは、安全な接続を求めるチームとの会話に向けてプラットフォームはオープンだと述べました。
2026年のDeFi分野の損失
クロスチェーンの相互運用性は暗号資産の中でも特に難しい領域の一つであり、長年にわたって複数のブリッジのエクスプロイトやセキュリティインシデントが発生してきました。The Blockのデータ・ダッシュボードによれば、DeFiは2026年において7億7000万ドル超の損失を計上しており、4月だけでも約30件のインシデントで過去最高を記録し、流出額は6億3000万ドル超でした。
