تم تحديد وحدة مارقة، تُعرف باسم “SquidRouterModule”، كالمسؤولة عن سحب حوالي 3.2 مليون دولار من 86 محفظة عبر شبكتي إيثريوم وBase. استمر الاستغلال لمدة ساعتين، تم خلالها تحويل الأموال المسروقة إلى ما يقرب من 3.07 مليون DAI ونقلها إلى محفظة يسيطر عليها المهاجم. وعلى الرغم من تشابه الأسماء، نفت شركة Squid أي صلة لها بالوحدة، مشيرة إلى أنها طُورت ونُشرت بواسطة طرف ثالث غير معروف.
سمح الخلل في منطق المصادقة الخاص بالوحدة للمهاجم بتنفيذ بيانات عشوائية والتصرف في الرموز دون الحاجة إلى توقيعات صالحة. تم تحقيق ذلك من خلال نشر عقود استغلال تعتمد على Foundry، والتي قامت بالتلاعب بمسار DelegateBundler للوحدة، متقمصة دور المفوضين المصرح لهم لتنفيذ عمليات تبادل عبر مجمعات Uniswap V3. تم تحويل الأصول إلى رمز عديم القيمة، أنشأه المهاجم، ثم تم دمجها في DAI.
وأكدت شركة Squid أن الوحدة المخترقة غير مرتبطة بعملياتها، وأنه لا يوجد أي موافقات معرضة للخطر على أي شبكة. ولا يزال قطاع التمويل اللامركزي (DeFi) يواجه تحديات، حيث تجاوزت الخسائر في عام 2026 بالفعل 770 مليون دولار، بما في ذلك قمة في شهر أبريل مع 30 حادثة أسفرت عن خسارة أكثر من 630 مليون دولار.
