Sebuah modul Gnosis Safe pihak ketiga dieksploitasi di Ethereum dan Base, menguras sekitar $3,2 juta dari 86 Safe dalam waktu kurang lebih dua jam, menurut firma keamanan Blockaid dan PeckShield. Kontrak yang rentan, diverifikasi di Basescan dengan nama "SquidRouterModule," tidak dibangun, dideploy, atau dioperasikan oleh protokol cross-chain Squid. Co-founder Squid, Fig, menjelaskan di X: "Kontrak yang disebut SquidRouterModule tidak terkait dengan Squid. Kami belum tahu siapa yang menulis atau mendepoyloy ini." Eksploit berhasil karena modul menerima string konstan yang disuplai pemanggil sebagai bukti bahwa sebuah pesan aman, sehingga memungkinkan penyerang mengeksekusi calldata sewenang-wenang dan membelanjakan token yang disimpan di Safe korban tanpa tanda tangan. Insiden ini mencerminkan kerentanan keamanan yang masih berlanjut di sektor DeFi, yang telah mencatat lebih dari $770 juta kerugian pada 2026, dengan April saja mencatat sekitar 30 insiden dan lebih dari $630 juta yang berhasil dikuras.
SquidRouterModule yang rentan menerima string konstan yang disuplai pemanggil sebagai bukti kriptografis bahwa sebuah pesan aman. Dengan meneruskan string tersebut, penyerang bisa mengeksekusi calldata sewenang-wenang dan mengakses token apa pun yang dipegang di Safe korban tanpa memerlukan tanda tangan yang valid.
Menurut pernyataan resmi Squid, router inti kontrak tersebut dipisahkan secara arsitektural dan tidak tersentuh oleh eksploit, serta proyek menekankan bahwa pelaporan publik awal yang merujuk "SquidRouter" tidak akurat secara teknis. Kontrak ini memang berbagi nama Squid, tetapi merupakan produk pihak ketiga yang memilih untuk mengintegrasikan dengan Squid di antara protokol lain dan tidak memiliki kontak dengan tim.
Penyerang men-deploy kontrak eksploit berbasis Foundry yang memanggil jalur DelegateBundler modul tersebut, menyamar sebagai delegasi yang berwenang di setiap Safe dan memicu swap sewenang-wenang melalui pool Uniswap V3, menurut Blockaid.
Aset target ditukar melalui pool Uniswap V3 yang disemai penyerang menjadi token buatan penyerang yang tidak bernilai bernama "u." Penyerang lalu menghapus likuiditas dari pool dan mengkonsolidasikan hasilnya menjadi sekitar 3,07 juta DAI, yang kini dipegang dalam sebuah wallet yang diawali "0xa447...54859," menurut PeckShield.
PeckShield mengidentifikasi bahwa pendanaan awal eksploiter sebesar 2,1 ETH berasal dari Tornado Cash.
Squid menyatakan bahwa kontrak tersebut, meski memakai nama Squid, adalah produk pihak ketiga yang tidak terkait dengan protokolnya. Pernyataan Fig menekankan minimnya keterlibatan proyek: "Kami belum tahu siapa yang menulis atau mendepoyloy ini." Halaman resmi X Squid menambahkan bahwa router intinya dipisahkan secara arsitektural dan tidak tersentuh.
Squid baru-baru ini mengumumkan putaran pendanaan strategis senilai $6 juta yang dipimpin oleh North Island Ventures, dengan partisipasi dari Ripple, Dialectic, dan Borderless.
Dalam diskusi terkait pendanaan tersebut, Fig Squid mengatakan kepada The Block bahwa proyek telah menyelesaikan sembilan audit keamanan independen hingga saat ini, tidak mencatat eksploit, dan mempertahankan uptime 99,99%. Saat ditanya apakah Squid sedang berupaya melayani proyek yang menilai ulang infrastruktur cross-chain mereka setelah masalah keamanan di tempat lain di pasar, Fig mengatakan platform terbuka untuk pembicaraan dengan tim yang mencari konektivitas yang aman.
Interoperabilitas lintas-chain tetap menjadi salah satu area tersulit di kripto, dengan sektor ini mengalami banyak eksploit jembatan dan insiden keamanan selama bertahun-tahun. Dasbor data The Block menunjukkan DeFi telah mencatat lebih dari $770 juta kerugian pada 2026, dengan April saja mencatat rekor sekitar 30 insiden dan lebih dari $630 juta yang berhasil dikuras.
Berita Terkait
Pelanggaran Tata Kelola StablR Memicu Pencetakan Token Tak Didukung Senilai $12,85 Juta
Serangan rantai pasok TrapDoor menargetkan tiga gudang besar, 34 paket berbahaya mencuri dompet kripto
StablR diserang dengan serangan tanda tangan ganda, EURR dan USDR kehilangan patokan; 13,5 juta token dicetak