Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 286RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 278Smart-Contract-Bug

New Market Trading: SquidRouterModule-Exploit

Eine Confused-Deputy-Schwachstelle im Drittanbieter-Modul SquidRouterModule ermöglichte den Diebstahl von rund 3,8 Mio. USD aus 88 Gnosis-Safe-Wallets auf Ethereum, Base und Arbitrum.

Datum
Opfer
New Market Trading
Chain(s)
EthereumBaseArbitrum
Status
Mittel entwendet
Zurechnung
0x9bdc730183821b6bb2b51be30b77c964fa645b91

Am 25. Mai 2026 verlor New Market Trading etwa 3,8 Millionen US-Dollar, als ein Angreifer eine fehlerhafte Zugriffskontrolle in seinem eigenen Gnosis-Safe-Modul SquidRouterModule ausnutzte. In weniger als 15 Minuten wurden 88 Nutzer-Safes auf Ethereum, Base und Arbitrum geleert — und jeder, der den verifizierten Vertrag las, hätte es tun können.

Was geschah

Das Modul litt unter einer klassischen Confused-Deputy-Schwachstelle. SquidRouterModule erbte expressExecuteWithToken() aus der Gateway-Schnittstelle von Axelar — eine für Relayer und nicht für die Vault-Ausführung gebaute Funktion — und sicherte sie nicht zusätzlich ab. Eine zweite Prüfung, hasPermission(safe, delegate, APPROVE), führte zwar eine echte Registry-Abfrage durch, bezog die Delegate-Adresse jedoch aus der Nutzlast des Aufrufers statt aus msg.sender. Der Angreifer las einfach den öffentlichen Vertrag, kopierte die erwartete Konstante, kodierte eine echte Delegate-Adresse aus einer offenen On-Chain-Registry und rief die Funktion auf, die rund drei Monate lang ungeschützt geblieben war. Die 2,1 ETH zum Starten der Operation stammten aus Tornado Cash. Die Erlöse wurden über die drei Chains hinweg via Relay konsolidiert und als rund 3,07 Millionen DAI an eine Angreifer-Wallet auf Ethereum gesendet.

Folgen

Der CEO von New Market Trading bestätigte den Exploit öffentlich und bot dem Angreifer ein Kopfgeld von 10 % für die Rückgabe der Mittel mit Frist bis zum 30. Mai an. Squid distanzierte sich von dem Vorfall und stellte klar, dass der verwundbare Vertrag — auf Basescan unter dem Namen „SquidRouterModule" verifiziert — ein Drittanbieter-Smart-Wallet-Produkt war, das Squid integriert hatte, aber „nicht von Squid gebaut, bereitgestellt oder betrieben" wurde, und dass Squids Kernprotokoll und Nutzer nicht betroffen waren.

Warum es wichtig ist

Der New-Market-Trading-Drain ist ein Lehrbuch-Confused-Deputy: Eine privilegierte Funktion vertraute vom Angreifer gelieferten Daten anstelle von msg.sender — dieselbe Klasse von Autorisierungsfehlern hinter vielen der Smart-Contract-Exploits des Katalogs. Er unterstreicht auch eine wiederkehrende Integrationsrisiko-Lehre: Ein Drittanbieter verwendete einen wiedererkennbaren Namen und klinkte sich in etablierte Protokolle ein, sodass Radius und Reputationsschaden teils Squid trafen, obwohl dessen Verträge unberührt blieben. Für Gnosis-Safe-Nutzer ist die Lehre eindeutig: Ein eigenes Modul ist ungeschützte Angriffsfläche mit voller Vermögensbefugnis, und ein öffentlicher, verifizierter Vertrag liefert dem Angreifer das genaue Rezept.

Quellen & On-Chain-Belege

  1. [01]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/new-market-trading-exploit
  2. [02]rekt.newshttps://rekt.news/newmarkettrading-rekt
  3. [03]crypto.newshttps://crypto.news/blockaid-flags-3m-squidroutermodule-exploit-across-86-safes/
  4. [04]beincrypto.comhttps://beincrypto.com/squid-disowns-3-2m-squidroutermodule-exploit/

Verwandte Einträge