La sécurité des portefeuilles multi-signatures reste une préoccupation majeure dans l’écosystème DeFi. Le 25 mai 2026, une attaque coordonnée a frappé des utilisateurs de Gnosis Safe, causant des pertes estimées à 3,2 millions de dollars en seulement deux heures. L’incident révèle une vulnérabilité critique dans un module tiers malveillant exploitant abusivement le nom de Squid, l’un des protocoles de liquidité les plus utilisés du marché.
Le contexte de l’attaque
L’attaque a visé simultanément les réseaux Ethereum et Base, affectant 86 portefeuilles Gnosis Safe différents. Les firmes de sécurité Blockaid et PeckShield ont documenté cette exploitation en temps réel, permettant une compréhension rapide du vecteur d’attaque.
Gnosis Safe, l’un des gestionnaires de portefeuille multi-signatures les plus populaires en Europe et en Afrique du Nord, permet l’intégration de modules tiers pour étendre ses fonctionnalités. Ces modules fonctionnent comme des extensions, offrant aux utilisateurs une flexibilité accrue. Cependant, cette architecture ouvre la porte à des risques importants lorsque des modules malveillants sont déployés.
Le contrat vulnérable, enregistré sous le nom SquidRouterModule, présentait une faille architecturale fondamentale : il acceptait une simple chaîne de caractères fournie par l’attaquant comme mécanisme de vérification de sécurité. Cette approche rudimentaire contournait complètement les exigences de signature cryptographique habituellement nécessaires pour autoriser les transactions.
Analyse technique de la vulnérabilité
La faille repose sur un défaut de conception critique. Le module utilisait une constante textuelle pour valider les demandes de transaction, plutôt que des signatures numériques ou des mécanismes cryptographiques robustes. L’attaquant pouvait donc exécuter du code arbitraire et transférer l’intégralité des actifs des portefeuilles affectés sans avoir besoin des clés privées des victimes.
Cette technique illustre un risque souvent minimisé dans le débat sécurité blockchain : les erreurs de conception au niveau applicatif surpassent souvent en dangerosité les failles cryptographiques. Un audit de code déficient ou une compréhension insuffisante des principes de sécurité ont probablement conduit au déploiement de ce module.
L’exécution quasi-simultanée sur deux chaînes suggère un exploit automatisé, probablement exécuté via un bot d’arbitrage ou un script moniteur de mempool. Les attaquants ont profité de la vulnérabilité publique sans délai, maximisant ainsi leurs gains avant que les utilisateurs ne désactivent le module compromis.
Squid dénonce l’usurpation d’identité
Rapidement après l’incident, Squid a publié un communiqué de dégagement de responsabilité clarifiant sa position. Le protocole affirme n’avoir ni créé ni déployé le module frauduleux, et qu’il n’existe aucun lien entre le contrat malveillant et l’infrastructure de Squid.
Cette distinction est fondamentale pour les utilisateurs francophones, car elle soulève des questions sur la confiance et l’identification dans l’écosystème DeFi. Un module portant le nom d’un protocole bien établi bénéficie d’une légitimité implicite, poussant les utilisateurs à l’adopter sans investigation approfondie. Les attaquants exploitent précisément cette asymétrie d’information.
Squid a insisté sur le fait que tous ses utilisateurs et intégrateurs officiels restaient non affectés, et qu’aucune action urgente n’était requise de leur part. Ce message visait à tranquilliser l’écosystème face à des risques de panique systémique.
Implications pour le marché français et maghrébin
En France et au Maghreb, où l’adoption de la DeFi augmente progressivement, cet incident rappelle l’importance de la diligence raisonnable. Les utilisateurs doivent vérifier l’authenticité des contrats avant intégration, notamment en consultant les sources officielles et les canaux de communication vérifiés des protocoles.
Pour les régulateurs locaux, l’incident renforce l’argument en faveur d’une supervision accrue des écosystèmes DeFi, même décentralisés. Les protections contre la fraude et l’usurpation identitaire demeurent pertinentes en blockchain.
Les plateformes d’échange et les gestionnaires d’actifs français doivent également renforcer leurs processus d’audit pour les modules tiers intégrés à leurs systèmes.
Points clés à retenir
- Ampleur de l’attaque : 3,2 millions de dollars volés via 86 portefeuilles en deux heures sur Ethereum et Base
- Vecteur d’exploitation : Un module Gnosis Safe utilisant un mécanisme de validation faible (chaîne de caractères au lieu de signature cryptographique)
- Usurpation d’identité : Le module portait le nom de Squid sans aucun lien avec le protocole officiel
- Absence de compromission du protocole : Squid et ses utilisateurs officiels restent totalement épargné par l’incident
- Leçon de sécurité : L’importance de vérifier l’authenticité des contrats avant leur intégration
- Automatisation de l’attaque : L’exploitation coordonnée sur deux chaînes suggère un bot optimisé
