Sebuah modul Gnosis Safe pihak ketiga dieksploitasi di Ethereum dan Base, menguras sekitar $3,2 juta dari 86 Safe dalam waktu sekitar dua jam, lapor firma keamanan Blockaid dan PeckShield.
Kontrak yang rentan tersebut, diverifikasi di Basescan dengan nama "SquidRouterModule," tidak dibangun, di-deploy, atau dioperasikan oleh protokol cross-chain Squid.
"Kontrak bernama SquidRouterModule tidak terkait dengan Squid. Kami belum tahu siapa yang menulis atau meng-deploy ini," tulis Fig, salah satu pendiri Squid yang pseudonim, di X. Router intinya terpisah secara arsitektur dan tidak tersentuh, tambah halaman X resmi proyek tersebut.
Eksploitasi ini berhasil karena modul tersebut menerima string konstan yang diberikan pemanggil sebagai bukti bahwa sebuah pesan aman.
Meneruskan string tersebut memungkinkan penyerang untuk mengeksekusi calldata arbitrer dan membelanjakan token apa pun yang ada di Safe korban tanpa tanda tangan, menurut Squid.
Penyerang menyebarkan kontrak eksploitasi berbasis Foundry yang memanggil jalur DelegateBundler modul tersebut, menyamar sebagai delegasi resmi di setiap Safe dan memicu pertukaran arbitrer melalui pool Uniswap V3, tulis Blockaid.
Aset target ditukar melalui pool Uniswap V3 yang disuntikkan penyerang menjadi token tak berharga yang dibuat penyerang bernama "u." Penyerang kemudian menarik likuiditas dari pool tersebut dan mengkonsolidasikan hasilnya menjadi sekitar 3,07 juta DAI, yang kini disimpan di dompet yang dimulai dengan "0xa447...54859," menurut PeckShield.
Pendanaan awal penyerang sebesar 2,1 ETH berasal dari Tornado Cash, tambah PeckShield.
Squid menyatakan bahwa laporan publik awal yang merujuk pada "SquidRouter" secara teknis tidak akurat. Kontrak tersebut menggunakan nama Squid tetapi merupakan produk pihak ketiga yang memilih untuk berintegrasi dengan Squid di antara protokol lain dan tidak memiliki kontak dengan tim, tulis proyek tersebut.
DeFi telah mencatat kerugian lebih dari $770 juta pada tahun 2026, dengan bulan April saja mencatat rekor sekitar 30 insiden dan lebih dari $630 juta terkuras, ditunjukkan oleh dasbor data The Block.
Perluas Grafik
Squid baru-baru ini mengumumkan bahwa mereka telah mengumpulkan $6 juta dalam putaran pendanaan strategis yang dipimpin oleh North Island Ventures, dengan Ripple, Dialectic, dan Borderless juga berpartisipasi.
Interoperabilitas cross-chain telah lama menjadi salah satu area tersulit dalam kripto, dengan sektor tersebut mengalami berbagai eksploitasi bridge dan insiden keamanan selama bertahun-tahun. Fig dari Squid mengatakan kepada The Block pekan lalu bahwa proyek tersebut telah menyelesaikan sembilan audit keamanan independen hingga saat ini, tidak mencatat adanya eksploitasi, dan mempertahankan uptime 99,99%.
Ketika ditanya saat itu apakah Squid ingin melayani proyek-proyek yang mengevaluasi kembali infrastruktur cross-chain mereka menyusul masalah di tempat lain di pasar, Fig mengatakan platform tersebut terbuka untuk percakapan dengan tim yang mencari konektivitas aman.
Disclaimer: The Block adalah outlet media independen yang menyediakan berita, penelitian, dan data. Per November 2023, Foresight Ventures adalah investor mayoritas The Block. Foresight Ventures berinvestasi di perusahaan lain di ruang kripto. Bursa kripto Bitget adalah LP jangkar untuk Foresight Ventures. The Block terus beroperasi secara independen untuk memberikan informasi yang objektif, berdampak, dan tepat waktu tentang industri kripto. Berikut adalah pengungkapan keuangan kami saat ini.
© 2026 The Block. Semua Hak Dilindungi. Artikel ini disediakan hanya untuk tujuan informasi. Ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau nasihat lainnya.
