Más de 80 wallets vaciadas en menos de dos horas en Ethereum

Un exploit drenó aproximadamente USD 3 millones de 86 wallets de criptomonedas en alrededor de dos horas, según detectó la firma de seguridad Blockaid este 25 de mayo. Al tiempo que la vulnerabilidad fue detectada, investigadores de la firma aseguraron que aún estaba activa.

Las wallets afectadas operaban sobre las redes de Ethereum y Base, y todas tenían habilitado un módulo de integración de Squid Router, una herramienta que permite ejecutar intercambios de tokens entre distintas redes directamente desde la wallet.

El atacante no necesitó las claves privadas de sus víctimas. En lugar de eso, según Blockaid, aprovechó una vulnerabilidad en este módulo externo para hacerse pasar por un operador autorizado dentro de cada wallet y ejecutar transacciones como si tuviera permiso legítimo para hacerlo.

¿Cómo funcionó el vaciado?

De acuerdo a lo explicado por el equipo de Blockaid, las wallets afectadas serían de la empresa Gnosis Safe, wallets diseñadas para requerir múltiples firmas antes de mover fondos, muy usadas por proyectos de finanzas descentralizadas (DeFi) e instituciones para administrar sus tesorerías de activos digitales. Este tipo de wallet permite agregar módulos externos que amplían sus funciones; uno de esos módulos es el de Squid Router.

Según Blockaid, la vulnerabilidad sospechada está en la función que ese módulo usa para ejecutar intercambios dentro de una misma red. El atacante habría desplegado contratos propios que explotaron esa vulnerabilidad para ordenar intercambios desde cada wallet afectada.

Los tokens reales de las víctimas fueron canjeados por un token sin valor real creado por el propio atacante, a través de fondos de liquidez que él mismo había armado de antemano en Uniswap V3 (uno de los principales protocolos de intercambio descentralizado de Ethereum). Una vez completado el vaciado, retiró esos fondos de liquidez y convirtió todo lo obtenido a 3,07 millones de DAI, una stablecoin atada al valor del dólar de EE. UU.

Rahul Rumalla, CEO de Safe, aclaró en X que las wallets afectadas no corrían sobre el producto oficial de Safe Wallet. «No estoy seguro exactamente de dónde fueron creadas y operadas estas cuentas», escribió.

Rumalla agregó que el módulo de Squid Router involucrado ya había sido marcado como malicioso por Blockaid dentro del sistema de alertas Safe Shield, que identifica módulos y extensiones de terceros no oficiales como factores de riesgo. «En Safe Wallet, estos riesgos se informan a través de Safe Shield. Los módulos y guardias no oficiales y de terceros se señalan como riesgos», indicó.

El reporte de Blockaid no confirma si el exploit fue detenido ni si el vector seguía activo al momento de su publicación. Tampoco hay declaración de Squid Router corroborando la vulnerabilidad o el monto afectado.

De este modo, del exploit se desprende que usar una wallet multifirma no elimina por completo el riesgo de perder los fondos. Cuando esa wallet tiene módulos externos habilitados (integraciones de terceros que amplían sus funciones), cada uno de esos módulos representa una vía de entrada adicional para un atacante.

En este caso, el exploit no apuntó a las claves de los dueños de las wallets sino al módulo que tenían instalado: una distinción que cambia dónde debe estar puesta la atención al evaluar la seguridad de una wallet.