Saltar al contenido
Est. MMXXVIVol. VI · № 282RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 278Fallo de smart contract

Exploit de SquidRouterModule en New Market Trading

Un fallo de control de acceso (confused deputy) en el módulo de terceros SquidRouterModule permitió drenar unos 3,8 millones de dólares de 88 billeteras Gnosis Safe en Ethereum, Base y Arbitrum.

Fecha
Víctima
New Market Trading
Cadena(s)
EthereumBaseArbitrum
Estado
Fondos robados
Atribución
0x9bdc730183821b6bb2b51be30b77c964fa645b91

El 25 de mayo de 2026, New Market Trading perdió aproximadamente 3,8 millones de dólares cuando un atacante explotó un control de acceso defectuoso en su módulo personalizado de Gnosis Safe, SquidRouterModule. En menos de 15 minutos, 88 Safes de usuarios fueron drenados en Ethereum, Base y Arbitrum — y cualquiera que leyera el contrato verificado podría haberlo hecho.

Qué ocurrió

El módulo sufrió una vulnerabilidad clásica de confused deputy. SquidRouterModule heredó expressExecuteWithToken() de la interfaz de gateway de Axelar — una función diseñada para relayers, no para la ejecución de bóvedas — y no colocó ningún control de acceso adicional detrás de ella. Una segunda comprobación, hasPermission(safe, delegate, APPROVE), ejecutaba una consulta real al registro pero tomaba la dirección del delegado del propio payload del llamante en lugar de msg.sender. El atacante simplemente leyó el contrato público, copió la cadena constante esperada, codificó una dirección de delegado real de un registro on-chain abierto y llamó a la función que había quedado sin protección durante unos tres meses. Los 2,1 ETH usados para iniciar la operación se retiraron de Tornado Cash. Las ganancias se consolidaron a través de las tres cadenas mediante Relay y se enviaron como unos 3,07 millones de DAI a una billetera del atacante en Ethereum.

Consecuencias

El CEO de New Market Trading confirmó públicamente el exploit y ofreció al atacante una recompensa del 10 % por devolver los fondos, con fecha límite del 30 de mayo. Squid se distanció del incidente, aclarando que el contrato vulnerable — verificado en Basescan bajo el nombre "SquidRouterModule" — era un producto de smart wallet de terceros que había integrado Squid pero "no fue construido, desplegado ni operado por Squid", y que el protocolo principal y los usuarios de Squid no se vieron afectados.

Por qué importa

El drenaje de New Market Trading es un confused deputy de manual: una función privilegiada confió en datos suministrados por el atacante en lugar de msg.sender, la misma clase de fallo de autorización detrás de muchos de los exploits de smart contract del catálogo. También subraya una lección recurrente de riesgo de integración: un tercero reutilizó un nombre reconocible y se conectó a protocolos establecidos, de modo que el radio de impacto y el daño reputacional recayeron en parte sobre Squid pese a que sus contratos quedaron intactos. Para los usuarios de Gnosis Safe, la conclusión es contundente: un módulo personalizado es una superficie de ataque sin protección con plena autoridad sobre los activos, y un contrato público y verificado le da al atacante la receta exacta.

Fuentes y evidencia on-chain

  1. [01]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/new-market-trading-exploit
  2. [02]rekt.newshttps://rekt.news/newmarkettrading-rekt
  3. [03]crypto.newshttps://crypto.news/blockaid-flags-3m-squidroutermodule-exploit-across-86-safes/
  4. [04]beincrypto.comhttps://beincrypto.com/squid-disowns-3-2m-squidroutermodule-exploit/

Registros relacionados