Un exploit dirigido contra un componente externo ajeno a los contratos principales provocó la sustracción de aproximadamente 3,2 millones de dólares de diversas carteras digitales el 25 de mayo de 2026. El incidente de seguridad afectó de manera directa a múltiples direcciones configuradas en las redes de Ethereum y Base, completando el drenado de activos en un intervalo estimado de dos horas, conforme a los datos analizados y distribuidos de forma pública por la plataforma de seguridad Blockaid.
🚨 Blockaid detected an ongoing exploit targeting the SquidRouterModule on Ethereum and Base.
86 Gnosis Safes drained for ~$3M in ~2 hours.
All stolen tokens swapped to DAI via attacker-controlled Uniswap V3 pools.
More details in 🧵— Blockaid (@blockaid_) May 25, 2026
La vulnerabilidad se localizó específicamente dentro de un contrato inteligente etiquetado bajo el nombre de módulo SquidRouterModule, una situación que inicialmente generó incertidumbre en el mercado debido a la similitud nominal con un conocido protocolo de interoperabilidad descentralizada entre cadenas.
This incident is unrelated to Squid’s core protocol and contracts. All Squid users and integrators are unaffected and no action is needed.
A third-party Gnosis Safe module was exploited today across Base and Ethereum, resulting in approximately $3.2M in losses. The vulnerable… https://t.co/I3gGmdBvE9
— squid (@squidrouter) May 25, 2026
A raíz de las primeras alertas que vinculaban el ataque con la infraestructura de Squid Router, el equipo de desarrollo de dicho protocolo publicó una aclaración oficial para desmarcar sus sistemas del vector de la vulnerabilidad. En una publicación difundida mediante un comunicado de Squid en la plataforma X, la organización ratificó que sus contratos principales y el Router oficial que rige sus operaciones normales no sufrieron ningún tipo de alteración ni compromiso de seguridad.
Los representantes técnicos enfatizaron que el contrato explotado por los atacantes es un desarrollo de un tercero que implementó la misma denominación pero que no comparte ninguna línea de código fuente con el protocolo legítimo de Squid, descartando así un fallo en la cadena de suministro de su software core.
Funcionamiento de billeteras Safe y mitigación de riesgos
Para comprender la mecánica del compromiso es necesario revisar la arquitectura de las carteras afectadas. Safe, la plataforma anteriormente conocida en el sector blockchain como Gnosis Safe, consiste en un sistema de billetera multifirma que opera de forma nativa en diversas redes de contratos inteligentes. Su diseño requiere que un número mínimo preestablecido de copropietarios o claves autorizadas aprueben de forma explícita cada transacción antes de que esta pueda ser ejecutada y registrada en la contabilidad distribuida.
No obstante, esta estructura de seguridad puede expandirse mediante el uso de módulos opcionales, los cuales constituyen contratos inteligentes complementarios diseñados para otorgar a un código externo la capacidad de ejecutar tareas automatizadas en nombre de la billetera principal sin necesidad de requerir firmas manuales continuas para cada movimiento individual.
De acuerdo con los reportes técnicos preliminares emitidos por firmas de análisis forense digital, el ataque se consumó debido a un fallo crítico en el diseño del mencionado módulo complementario. Esta brecha permitió al atacante falsificar las credenciales o suplantar la identidad de los delegados que contaban con autorizaciones previas dentro del sistema, lo que desencadenó una serie de instrucciones de intercambio de tokens totalmente desautorizadas por los dueños reales de los fondos. En total, el atacante logró comprometer un mínimo de 86 cuentas de Safe en el lapso de tiempo registrado.
Todos los activos digitales extraídos de los monederos de las víctimas fueron transferidos e intercambiados de manera inmediata por la stablecoin Dai (DAI), utilizando para este fin pools de liquidez específicos de la plataforma Uniswap V3 que se encontraban bajo la manipulación o el control directo de la entidad explotadora. Estos incidentes muestran cómo los ataques a DeFi impactan directamente en las estrategias de custodia de activos digitales al introducir vectores imprevistos a través de herramientas secundarias integradas de forma descuidada.
La respuesta por parte de la entidad de desarrollo central de las billeteras multifirma aportó detalles adicionales sobre las condiciones operativas de las direcciones vulneradas. Rahul Rumalla, director ejecutivo de Safe Labs, manifestó públicamente que las cuentas damnificadas durante el incidente no muestran indicios de haber sido gestionadas o creadas mediante el uso de la interfaz o el producto oficial provisto por Safe Wallet.
El director ejecutivo indicó que el método exacto de despliegue, así como el entorno donde se administraban estas llaves, permanece bajo investigación técnica, aunque los indicios apuntan a que corresponden exclusivamente a integraciones personalizadas desarrolladas e implementadas por plataformas externas o aplicaciones de terceros que se conectan de manera remota al estándar de Safe.
Adicionalmente, Rumalla pormenorizó las capacidades vigentes de sus sistemas de defensa para evitar la interacción con software potencialmente dañino. La arquitectura de Safe Wallet cuenta de forma nativa con una funcionalidad denominada Safe Shield, estructurada específicamente para monitorizar, detectar y alertar a los usuarios sobre la presencia de módulos o sistemas de protección que resulten sospechosos, maliciosos o que no cuenten con las certificaciones de seguridad correspondientes en la red.
El ejecutivo confirmó que los módulos de detección automatizados de Safe Shield, que se nutren de forma directa de las reglas y firmas de amenazas desarrolladas por Blockaid, ya mantenían registrado al contrato de terceros bajo la categoría de software malicioso antes de que se concretara el robo masivo de los fondos el lunes en las redes de Ethereum y Base. Esto significa que los usuarios que empleaban interfaces estandarizadas contaban con alertas visibles frente al peligro.
Hasta la publicación de esta nota informativa, los equipos de seguridad de ambas organizaciones continúan cruzando datos para establecer con total precisión si existen otras carteras con configuraciones de permisos similares que pudieran estar expuestas a futuras sustracciones de capital. Falta por confirmar la identidad del monedero del atacante o si las empresas de análisis on-chain lograrán coordinar con los exchanges centralizados la congelación de los fondos convertidos a DAI. Las investigaciones siguen abiertas para delimitar las responsabilidades técnicas del código de terceros involucrado.
Este artículo tiene fines informativos y no constituye asesoramiento financiero.
