Pembuka
Sebuah modul Gnosis Safe pihak ketiga dieksploitasi di Ethereum dan Base, menguras sekitar $3,2 juta dari 86 Safe dalam waktu kurang lebih dua jam, menurut firma keamanan Blockaid dan PeckShield. Kontrak yang rentan, diverifikasi di Basescan dengan nama "SquidRouterModule," tidak dibangun, dideploy, atau dioperasikan oleh protokol cross-chain Squid. Co-founder Squid, Fig, menjelaskan di X: "Kontrak yang disebut SquidRouterModule tidak terkait dengan Squid. Kami belum tahu siapa yang menulis atau mendepoyloy ini." Eksploit berhasil karena modul menerima string konstan yang disuplai pemanggil sebagai bukti bahwa sebuah pesan aman, sehingga memungkinkan penyerang mengeksekusi calldata sewenang-wenang dan membelanjakan token yang disimpan di Safe korban tanpa tanda tangan. Insiden ini mencerminkan kerentanan keamanan yang masih berlanjut di sektor DeFi, yang telah mencatat lebih dari $770 juta kerugian pada 2026, dengan April saja mencatat sekitar 30 insiden dan lebih dari $630 juta yang berhasil dikuras.
Mekanisme Eksploit
SquidRouterModule yang rentan menerima string konstan yang disuplai pemanggil sebagai bukti kriptografis bahwa sebuah pesan aman. Dengan meneruskan string tersebut, penyerang bisa mengeksekusi calldata sewenang-wenang dan mengakses token apa pun yang dipegang di Safe korban tanpa memerlukan tanda tangan yang valid.
Menurut pernyataan resmi Squid, router inti kontrak tersebut dipisahkan secara arsitektural dan tidak tersentuh oleh eksploit, serta proyek menekankan bahwa pelaporan publik awal yang merujuk "SquidRouter" tidak akurat secara teknis. Kontrak ini memang berbagi nama Squid, tetapi merupakan produk pihak ketiga yang memilih untuk mengintegrasikan dengan Squid di antara protokol lain dan tidak memiliki kontak dengan tim.
Metode Penyerang dan Jejak Dana
Penyerang men-deploy kontrak eksploit berbasis Foundry yang memanggil jalur DelegateBundler modul tersebut, menyamar sebagai delegasi yang berwenang di setiap Safe dan memicu swap sewenang-wenang melalui pool Uniswap V3, menurut Blockaid.
Aset target ditukar melalui pool Uniswap V3 yang disemai penyerang menjadi token buatan penyerang yang tidak bernilai bernama "u." Penyerang lalu menghapus likuiditas dari pool dan mengkonsolidasikan hasilnya menjadi sekitar 3,07 juta DAI, yang kini dipegang dalam sebuah wallet yang diawali "0xa447...54859," menurut PeckShield.
PeckShield mengidentifikasi bahwa pendanaan awal eksploiter sebesar 2,1 ETH berasal dari Tornado Cash.
Respons Squid
Squid menyatakan bahwa kontrak tersebut, meski memakai nama Squid, adalah produk pihak ketiga yang tidak terkait dengan protokolnya. Pernyataan Fig menekankan minimnya keterlibatan proyek: "Kami belum tahu siapa yang menulis atau mendepoyloy ini." Halaman resmi X Squid menambahkan bahwa router intinya dipisahkan secara arsitektural dan tidak tersentuh.
Pendanaan Terbaru Squid dan Klaim Keamanan
Squid baru-baru ini mengumumkan putaran pendanaan strategis senilai $6 juta yang dipimpin oleh North Island Ventures, dengan partisipasi dari Ripple, Dialectic, dan Borderless.
Dalam diskusi terkait pendanaan tersebut, Fig Squid mengatakan kepada The Block bahwa proyek telah menyelesaikan sembilan audit keamanan independen hingga saat ini, tidak mencatat eksploit, dan mempertahankan uptime 99,99%. Saat ditanya apakah Squid sedang berupaya melayani proyek yang menilai ulang infrastruktur cross-chain mereka setelah masalah keamanan di tempat lain di pasar, Fig mengatakan platform terbuka untuk pembicaraan dengan tim yang mencari konektivitas yang aman.
Kerugian Sektor DeFi pada 2026
Interoperabilitas lintas-chain tetap menjadi salah satu area tersulit di kripto, dengan sektor ini mengalami banyak eksploit jembatan dan insiden keamanan selama bertahun-tahun. Dasbor data The Block menunjukkan DeFi telah mencatat lebih dari $770 juta kerugian pada 2026, dengan April saja mencatat rekor sekitar 30 insiden dan lebih dari $630 juta yang berhasil dikuras.
