Squid affirme que son protocole principal n’a pas été touché après l’exploitation d’un module tiers ayant vidé 86 coffres Gnosis Safe sur Ethereum et Base. Le vol, estimé à environ 3,2 millions de dollars, révèle surtout un risque plus discret dans la DeFi : les modules externes peuvent porter le nom d’un protocole sans être contrôlés par lui. Selon Squid, le contrat appelé SquidRouterModule n’a pas été conçu, déployé ni exploité par son équipe.
Un module tiers au cœur de l’attaque
L’incident a d’abord été signalé par Blockaid, qui a détecté une exploitation active du SquidRouterModule sur Ethereum et Base. Cette affaire rappelle que les failles DeFi touchent souvent des composants très précis plutôt que tout un écosystème. Environ 86 Gnosis Safes auraient été vidés en près de deux heures. Les fonds volés ont ensuite été convertis en DAI via des pools Uniswap V3 contrôlés par l’attaquant.
Le nom du contrat a immédiatement créé la confusion. Pour de nombreux observateurs, “SquidRouterModule” pouvait laisser penser à une faille du protocole Squid lui-même. L’équipe a donc rapidement corrigé cette lecture. Dans un message publié sur X, elle explique que le module était un produit tiers ayant choisi de s’intégrer à Squid, sans lien opérationnel avec le protocole central.
Cette nuance est importante. Dans la DeFi, l’image d’un projet peut être affectée par un outil externe qui utilise son nom, son routeur ou son infrastructure. Le contrat peut être vérifié, visible et actif sur une blockchain. Cela ne signifie pas toujours qu’il vient officiellement de l’équipe dont il emprunte le vocabulaire.
Une faille qui contourne la logique de signature
Le problème décrit par Squid tient à une validation défectueuse. Le module acceptait une chaîne de caractères constante fournie par l’appelant comme preuve de sécurité. Cette faiblesse aurait permis d’exécuter des appels arbitraires et de déplacer les tokens présents dans les coffres concernés sans signature valide des propriétaires.
Il ne s’agit donc pas d’un simple bug d’affichage ou d’une erreur mineure. Le module touchait une zone très sensible : l’autorisation de transactions dans des coffres multisignatures. Quand ce type de composant se trompe dans la vérification, l’attaquant n’a plus besoin de casser le coffre. Il lui suffit de passer par une porte latérale mal gardée.
Blockaid indique que l’attaquant a utilisé des contrats d’exploitation pour se faire passer pour un délégué autorisé sur les Safes ciblés. Les actifs ont ensuite été échangés contre un token sans valeur créé par l’attaquant, avant consolidation en DAI. PeckShield a également rapporté que le financement initial provenait de Tornado Cash, un détail qui complique l’identification de l’origine des fonds.
Squid protège son protocole, mais pas son image
Squid insiste sur un point : son routeur principal n’a pas été modifié et son protocole de base n’a pas été compromis. L’équipe parle d’un incident externe, lié à un module tiers. Cette défense est techniquement importante. Elle permet d’éviter une panique plus large autour de son infrastructure cross-chain.
Mais l’affaire laisse une trace. Squid venait récemment de lever 6 millions de dollars lors d’un tour stratégique mené par North Island Ventures, avec la participation de Ripple, Dialectic et Borderless. Dans ce contexte, une confusion autour de la sécurité peut vite devenir un problème de réputation, même si la responsabilité technique directe n’est pas établie.
La DeFi vit beaucoup sur la confiance dans le code, mais aussi sur la confiance dans les intégrations. Un utilisateur moyen ne distingue pas toujours un protocole principal, un module tiers, un wrapper, un routeur ou un plugin Safe. Pour lui, si le nom apparaît dans le contrat, le risque semble associé à la marque.
La DeFi reste vulnérable aux dépendances invisibles
Cet exploit rappelle une faiblesse récurrente de l’écosystème crypto. Les protocoles ne fonctionnent pas seuls. Ils reposent sur des modules, des bridges, des agrégateurs, des contrats d’autorisation, des interfaces et des intégrations. Chaque couche ajoute de la puissance. Chaque couche ajoute aussi une surface d’attaque. C’est le même type de logique que l’on retrouve dans les attaques supply chain visant les développeurs crypto.
Le tableau de bord de The Block cité dans l’article indique que la DeFi a déjà perdu plus de 770 millions de dollars en 2026, avec un mois d’avril particulièrement violent. Ce rythme montre que les audits, les contrôles et les promesses de sécurité ne suffisent pas toujours.
La leçon est sèche. Un coffre multisignature n’est pas invincible si les modules installés autour de lui sont mal vérifiés. Pour les équipes crypto, l’urgence n’est pas seulement de sécuriser leur propre code. Il faut aussi surveiller les intégrations qui utilisent leur nom et clarifier publiquement ce qui relève, ou non, de leur responsabilité. Cette exigence de clarté vaut aussi pour les infrastructures plus larges, comme l’a montré le débat sur la sécurité des dépôts clients chez Binance.
En bref
- Un module tiers nommé SquidRouterModule a été exploité sur Ethereum et Base.
- Squid affirme que son protocole principal n’a pas été touché.
- L’affaire expose le danger des intégrations DeFi mal comprises.
