Aller au contenu
Fondé MMXXVIVol. VI · № 282RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 278Bug de smart contract

Exploit du SquidRouterModule de New Market Trading

Une faille de contrôle d'accès (confused deputy) dans le module tiers SquidRouterModule a permis de drainer ~3,8 M$ de 88 portefeuilles Gnosis Safe sur Ethereum, Base et Arbitrum.

Date
Victime
New Market Trading
Chaîne(s)
EthereumBaseArbitrum
Statut
Fonds dérobés
Attribution
0x9bdc730183821b6bb2b51be30b77c964fa645b91

Le 25 mai 2026, New Market Trading a perdu environ 3,8 millions de dollars lorsqu'un attaquant a exploité un contrôle d'accès défaillant dans son module Gnosis Safe personnalisé, SquidRouterModule. En moins de 15 minutes, 88 Safes d'utilisateurs ont été vidés sur Ethereum, Base et Arbitrum — et quiconque lisait le contrat vérifié aurait pu le faire.

Ce qui s'est passé

Le module souffrait d'une vulnérabilité classique de confused deputy. SquidRouterModule héritait de expressExecuteWithToken() de l'interface de passerelle d'Axelar — une fonction conçue pour les relayeurs, pas pour l'exécution de coffres — et ne plaçait aucun contrôle d'accès supplémentaire derrière elle. Une seconde vérification, hasPermission(safe, delegate, APPROVE), effectuait une véritable consultation du registre mais tirait l'adresse du délégué de la charge utile de l'appelant lui-même plutôt que de msg.sender. L'attaquant a simplement lu le contrat public, copié la constante attendue, encodé une adresse de délégué réelle issue d'un registre on-chain ouvert et appelé la fonction restée sans protection pendant environ trois mois. Les 2,1 ETH ayant servi à amorcer l'opération provenaient de Tornado Cash. Les produits ont été consolidés sur les trois chaînes via Relay et envoyés sous forme d'environ 3,07 millions de DAI vers un portefeuille de l'attaquant sur Ethereum.

Conséquences

Le PDG de New Market Trading a confirmé publiquement l'exploit et offert à l'attaquant une prime de 10 % pour la restitution des fonds, avec une échéance au 30 mai. Squid s'est distancié de l'incident, précisant que le contrat vulnérable — vérifié sur Basescan sous le nom « SquidRouterModule » — était un produit de smart wallet tiers qui avait intégré Squid mais « n'a pas été construit, déployé ni exploité par Squid », et que le protocole principal et les utilisateurs de Squid n'étaient pas affectés.

Pourquoi c'est important

Le vidage de New Market Trading est un confused deputy d'école : une fonction privilégiée a fait confiance à des données fournies par l'attaquant à la place de msg.sender, la même classe de bug d'autorisation derrière de nombreux exploits de smart contract du catalogue. Il souligne aussi une leçon récurrente de risque d'intégration : un tiers a réutilisé un nom reconnaissable et s'est branché sur des protocoles établis, de sorte que le rayon d'impact et le dommage de réputation ont en partie frappé Squid bien que ses contrats soient restés intacts. Pour les utilisateurs de Gnosis Safe, la conclusion est nette : un module personnalisé est une surface d'attaque non protégée dotée d'une pleine autorité sur les actifs, et un contrat public et vérifié donne à l'attaquant la recette exacte.

Sources & preuves on-chain

  1. [01]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/new-market-trading-exploit
  2. [02]rekt.newshttps://rekt.news/newmarkettrading-rekt
  3. [03]crypto.newshttps://crypto.news/blockaid-flags-3m-squidroutermodule-exploit-across-86-safes/
  4. [04]beincrypto.comhttps://beincrypto.com/squid-disowns-3-2m-squidroutermodule-exploit/

Dépôts liés