Exploit SquidRouterModule : 3M Dollars Volés sur 86 Safes

Imaginez confier vos fonds à un module de routage réputé dans l’écosystème DeFi, pour vous réveiller avec un solde à zéro. C’est précisément ce qui est arrivé à des dizaines d’utilisateurs de Gnosis Safes ce 25 mai 2026. Blockaid, une entreprise de sécurité blockchain reconnue, a levé l’alerte sur un exploit massif touchant le SquidRouterModule, entraînant le drainage de près de 3 millions de dollars en l’espace de seulement deux heures.

Un exploit rapide et ciblé qui secoue la DeFi

Cet incident met une nouvelle fois en lumière les vulnérabilités persistantes des infrastructures décentralisées. Alors que le marché crypto tente de retrouver une stabilité, les attaquants continuent d’identifier des points faibles dans les modules et les intégrations wallet. Le cas du SquidRouterModule illustre parfaitement cette course permanente entre innovation et sécurité.

Selon les premières analyses de Blockaid, 86 Gnosis Safes ont été compromis sur les réseaux Ethereum et Base. Les fonds volés, principalement des tokens variés, ont rapidement été convertis en DAI via des pools Uniswap V3 contrôlés par l’attaquant. Cette rapidité d’exécution témoigne d’une préparation minutieuse et d’une connaissance approfondie des mécanismes on-chain.

Les détails techniques de l’attaque

L’exploit a été détecté par Blockaid qui a publié un thread détaillé sur X. L’adresse de l’attaquant, 0x9bdc730183821b6bb2b51be30b77c964fa645b91, montre une activité récente financée via Tornado Cash, un mélangeur souvent associé à des opérations cherchant à masquer l’origine des fonds. Cette adresse a effectué 52 transactions, concentrées le jour de l’attaque.

Les Safes Gnosis compromis étaient connectés au SquidRouterModule, un composant permettant le routage optimisé de transactions à travers différents protocoles DeFi. Cette intégration, bien que pratique pour les utilisateurs, a visiblement créé une surface d’attaque exploitable. Les fonds ont été drainés avant d’être swappés via des pools liquides contrôlés par l’attaquant, rendant la traçabilité plus complexe dans un premier temps.

Blockaid a détecté une exploitation active ciblant le SquidRouterModule sur Ethereum et Base. 86 Gnosis Safes drainés pour environ 3 millions de dollars en deux heures.

Blockaid sur X

Le parcours des fonds volés

Une fois les actifs extraits des Safes, l’attaquant les a dirigés vers des pools Uniswap V3 qu’il contrôlait. Cette stratégie permet une conversion rapide en DAI stable, facilitant ensuite le blanchiment ou le déplacement des fonds. Un wallet de consolidation a été identifié, contenant environ 3,07 millions de DAI, confirmant l’ampleur du préjudice.

Cette méthode n’est pas nouvelle dans l’univers des hacks DeFi, mais sa mise en œuvre ici démontre une maîtrise des outils disponibles sur les exchanges décentralisés. Les transactions exemples partagées montrent des swaps impliquant USDC, ENA et USDT, soulignant la diversité des tokens initialement détenus par les victimes.

Contexte d’un mois chargé en incidents de sécurité

Cet exploit intervient dans un mois de mai déjà marqué par plusieurs incidents notables. Récemment, les stablecoins EURR et USDR de StablR ont perdu leur peg suite à une compromission présumée de clé privée. Un multisig compromis a permis la mint de millions de tokens, entraînant des pertes estimées à 2,8 millions de dollars.

Plus tôt dans le mois, ShapeShift et son FOX Colony sur Arbitrum ont également été touchés, avec des pertes cumulées autour de 182 700 dollars. Ces événements successifs rappellent que les risques ne se limitent pas aux smart contracts mal codés, mais touchent aussi la gestion des clés, les permissions de modules et les intégrations wallet.

Qu’est-ce que le SquidRouterModule ?

Le SquidRouterModule fait partie des outils conçus pour optimiser les routes de swaps et de transfers à travers différents protocoles et chaînes. Il vise à offrir aux utilisateurs les meilleurs taux et la liquidité la plus profonde. Gnosis Safe, de son côté, est une solution de wallet multisignature très populaire auprès des institutions et des utilisateurs avancés pour sa sécurité renforcée.

L’association de ces deux technologies devait théoriquement augmenter la sécurité et l’efficacité. Pourtant, cet incident révèle qu’une vulnérabilité dans le module de routage peut contourner les protections du Safe. Cela pose des questions fondamentales sur les audits, les permissions accordées aux modules et la manière dont les contrats s’interconnectent.

Les implications pour les utilisateurs DeFi

Cet événement n’affecte pas seulement les victimes directes. Il érode la confiance globale dans les solutions de sécurité comme les multisigs et les modules additionnels. De nombreux utilisateurs se demandent aujourd’hui si leurs propres configurations sont vulnérables et quelles bonnes pratiques adopter pour minimiser les risques.

Les Gnosis Safes sont souvent utilisés pour des trésoreries importantes ou des DAO. Le fait que 86 d’entre eux aient été touchés en si peu de temps suggère une attaque hautement automatisée, probablement via un script exploitant une faille précise dans le module SquidRouter.

Analyse de la réponse de la communauté

Blockaid a réagi rapidement en publiant les adresses concernées et en alertant la communauté. Cela permet aux autres utilisateurs de vérifier leurs propres setups et aux développeurs de potentiellement pauser ou corriger le module. Cependant, dans l’univers décentralisé, il n’existe pas d’autorité centrale capable d’arrêter instantanément l’attaquant.

Les équipes de sécurité on-chain jouent un rôle crucial en fournissant une visibilité rapide. Sans ces outils de monitoring avancés, de nombreux exploits passeraient inaperçus pendant des heures, permettant aux voleurs de blanchir les fonds plus facilement.

Les attaques sur les modules et les permissions restent un vecteur majeur de pertes dans la DeFi. La vigilance et les audits réguliers sont indispensables.

Observateur sécurité blockchain

Historique des exploits DeFi et leçons apprises

Depuis plusieurs années, le secteur accumule les incidents. DefiLlama rapporte plus de 500 hacks sur une décennie, totalisant plus de 17 milliards de dollars de pertes. Si les premiers exploits ciblaient principalement des failles de code smart contract, les attaquants se tournent désormais vers les clés privées, les bridges, les proxies et les intégrations tierces.

Le cas TrustedVolumes, avec 6,7 millions de dollars perdus via un proxy RFQ custom, ou encore d’autres attaques sur des resolveurs Ethereum, montrent une évolution des tactiques. Les attaquants exploitent désormais la complexité croissante de l’écosystème où de multiples protocoles s’interconnectent.

Conseils pratiques pour sécuriser ses actifs

Face à ces menaces, plusieurs mesures peuvent être prises. Tout d’abord, limiter les permissions accordées aux modules externes. Un module de routage ne devrait pas avoir un accès illimité à tous les fonds d’un Safe. La revue régulière des autorisations est essentielle.

• Vérifier les intégrations actives sur son Gnosis Safe.
• Utiliser plusieurs layers de sécurité, comme des timelocks.
• Éviter de connecter des wallets chauds à des protocoles non audités récemment.
• Surveiller les alertes des outils comme Blockaid.
• Préférer des configurations multisig avec plusieurs signataires de confiance.

Ces bonnes pratiques ne garantissent pas une sécurité absolue, mais elles réduisent significativement la surface d’attaque. L’éducation reste l’arme la plus puissante dans cet environnement hostile.

L’avenir de la sécurité dans la DeFi

Cet incident va probablement accélérer les discussions autour de standards de sécurité plus stricts pour les modules. Les projets comme Gnosis et les routeurs DeFi vont devoir renforcer leurs audits et peut-être implémenter des mécanismes de kill switch ou de monitoring en temps réel plus robustes.

Du côté des utilisateurs, on observe une maturation progressive. Après plusieurs années de hacks médiatisés, la communauté devient plus exigeante sur la transparence et les preuves d’audit. Les assureurs DeFi pourraient également ajuster leurs primes en fonction des risques identifiés sur certains modules.

Réactions du marché et impact potentiel

Si cet exploit reste relativement contenu à 3 millions de dollars comparé aux méga-hacks passés, son impact psychologique est réel. Les utilisateurs de Gnosis Safe et des routeurs similaires pourraient revoir leurs positions, entraînant potentiellement une migration temporaire vers d’autres solutions.

Sur le plan on-chain, on observe souvent une augmentation de l’activité de monitoring après ce type d’événement. Les développeurs scrutent leurs contrats à la recherche de vulnérabilités similaires, tandis que les chasseurs de bugs redoublent d’efforts pour identifier d’autres failles avant qu’elles ne soient exploitées.

Pourquoi les Gnosis Safes sont-ils populaires ?

Les Gnosis Safe ont conquis une large part du marché des wallets institutionnels grâce à leur modèle multisignature flexible et à leur support étendu des modules. Ils permettent de configurer des règles d’approbation complexes, idéales pour les DAO, les trésoreries d’entreprise ou les fonds crypto.

Cependant, cette flexibilité a un coût : plus il y a de modules actifs, plus le risque de vulnérabilité augmente. Cet exploit rappelle que la sécurité d’un wallet dépend non seulement de son code principal, mais aussi de tout ce qui y est connecté.

Le rôle des outils de sécurité comme Blockaid

Blockaid s’est imposé comme un acteur clé dans l’écosystème de la sécurité blockchain. En détectant l’exploit en cours, l’entreprise a permis une réactivité maximale. Leurs outils analysent les transactions en temps réel, identifient les patterns suspects et alertent les utilisateurs et la communauté.

Ces solutions de monitoring deviennent indispensables à mesure que la DeFi gagne en complexité. Elles ne remplacent pas les audits préalables, mais elles offrent une couche de protection supplémentaire contre les menaces zéro-day ou les exploits en cours.

Perspectives et recommandations sectorielles

Pour les projets DeFi, cet événement souligne l’importance d’audits continus et non ponctuels. Les modules doivent être conçus avec le principe de moindre privilège : donner uniquement les permissions strictement nécessaires.

Les utilisateurs, quant à eux, devraient adopter une approche zéro confiance. Vérifier régulièrement les autorisations, utiliser des hardware wallets pour les signatures critiques, et diversifier les solutions de custody sont des étapes essentielles.

À plus long terme, on peut espérer que les standards comme Account Abstraction (ERC-4337) et les wallets intelligents apportent des améliorations significatives en matière de sécurité sans sacrifier l’expérience utilisateur.

Conclusion : rester vigilant dans un écosystème en évolution

Cet exploit du SquidRouterModule, bien que douloureux pour les victimes, sert de rappel salutaire. La DeFi offre des opportunités uniques, mais elle exige une vigilance constante. Les 3 millions de dollars perdus en deux heures montrent à quel point les fonds peuvent disparaître rapidement quand une faille est exploitée.

En suivant les évolutions, en s’informant auprès de sources fiables et en appliquant les meilleures pratiques de sécurité, les utilisateurs peuvent continuer à naviguer dans cet univers passionnant tout en protégeant leurs actifs. L’histoire de la blockchain est faite d’innovations et de défis ; chaque incident nous rapproche collectivement d’un écosystème plus résilient.

La communauté crypto démontre régulièrement sa capacité à rebondir. Après cet événement, de nombreux audits supplémentaires seront probablement lancés, et de nouvelles protections verront le jour. C’est dans cette dynamique d’amélioration continue que réside l’avenir prometteur de la finance décentralisée.

Restez informés, restez prudents, et surtout, ne cessez jamais d’apprendre sur ces technologies qui redéfinissent notre rapport à l’argent et à la valeur.