Ironi di Dunia Kripto: Peretasan Modul SquidRouterModule Sedot Rp50 Miliar Tepat Setelah Squid Umumkan Suntikan Dana Segar

Squid segera bergerak untuk menjauhkan protokol routing intinya dari modul yang tereksploitasi, menyatakan bahwa SquidRouterModule adalah modul Gnosis Safe pihak ketiga yang tidak dikembangkan, di-deploy, atau dioperasikan oleh Squid . Penyerang mendanai alamat eksploitasi melalui Tornado Cash, dan hingga laporan terakhir, DAI curian masih berada di dompet penyerang tanpa ada pembekuan atau pemulihan dana .

Bagaimana Peretasan Ini Menembus Perlindungan Gnosis Safe

Serangan berpusat pada kerentanan dalam fungsi executeSameChainActions() pada SquidRouterModule, yang menerima calldata arbitrer dan menggunakan verifikasi string tetap (fixed-string) yang dapat dengan mudah digunakan kembali oleh penyerang . Urutan teknisnya terjadi dalam empat langkah cepat:

1. Kontrak Swap Palsu: Penyerang membuat pool likuiditas Uniswap V3 yang tampak sah, tetapi sepenuhnya dikendalikan oleh penyerang .
2. Pembobolan Persetujuan: Modul yang rentan memungkinkan penyerang untuk menyamar sebagai delegasi yang berwenang, melewati pemeriksaan persetujuan multi-tanda tangan (multi-signature) asli dari Gnosis Safe .
3. Pengurasan Cepat: Dalam waktu sekitar dua jam, 86 Safe dikuras di Ethereum dan Base secara berurutan .
4. Konsolidasi: Semua token curian ditukar menjadi DAI dan dikirim ke satu dompet yang dikendalikan penyerang, yang menampung sekitar 3,07 juta DAI .

Vektor serangan spesifik ini—menyalahgunakan verifikasi lemah modul pihak ketiga untuk mengesampingkan keamanan dompet—berbeda dari eksploitasi besar 2026 lainnya yang terutama mengandalkan pesan lintas rantai palsu .

Jarak Tiga Hari yang Ironis: Pendanaan dan Dampaknya

Eksploitasi SquidRouterModule tiba pada momen yang sangat sensitif bagi merek Squid:

• 22 Mei 2026: Squid mengumumkan putaran strategis $6 juta, sehingga total pendanaannya menjadi $13,5 juta, dengan rencana untuk memperluas produk lintas rantai yang berfokus pada konsumen .
• 25 Mei 2026: Blockaid menandai eksploitasi SquidRouterModule, yang langsung menyebabkan kebingungan merek di komunitas kripto .

Squid merespons dalam hitungan jam, mengklarifikasi melalui berbagai saluran bahwa modul yang diretas "tidak terkait dengan Squid" dan secara struktural berbeda dari kontrak routing lintas rantai intinya . Perusahaan menekankan bahwa tidak ada dana pengguna Squid atau kontrak protokol inti yang terpengaruh . Pembelaan merek yang cepat ini diperlukan karena nama modul menciptakan asosiasi langsung dengan Squid dalam pemberitaan publik .

2026: Tahun Kelam untuk Peretasan Jembatan Lintas Rantai

Insiden SquidRouterModule adalah yang terbaru dari serangkaian serangan lintas rantai dahsyat yang membuat tahun 2026 menjadi tahun terburuk yang pernah tercatat untuk keamanan jembatan kripto:

Menurut perusahaan keamanan blockchain PeckShield, delapan peretasan besar terkait jembatan telah mencuri total $328,6 juta dari protokol lintas rantai pada pertengahan Mei 2026 . Angka total peretasan kripto di semua kategori melampaui $750 juta pada akhir Mei, dengan jembatan sebagai vektor serangan tunggal terbesar .

Pola serangannya bervariasi, tetapi mengungkap kelemahan yang berulang. Pesan lintas rantai palsu memungkinkan eksploitasi terbesar, termasuk serangan KelpDAO yang mencetak 116.500 token rsETH palsu dan peretasan jembatan Verus yang menipu protokol untuk mengirimkan dana dari cadangannya . Kompromi kunci privat, seperti yang terlihat pada serangan jembatan ioTube IoTeX , dan kelemahan logika kontrak pintar, seperti pada peretasan CrossCurve , tetap menjadi ancaman terus-menerus. Eksploitasi SquidRouterModule menambahkan pola yang lebih baru: menyalahgunakan izin modul dompet pihak ketiga untuk melewati kerangka keamanan yang sudah mapan .

Status Terkini Dana yang Dicuri

Berdasarkan laporan terbaru yang tersedia per 25-26 Mei 2026, sekitar 3,07 juta DAI masih berada di dompet penyerang tanpa ada laporan pembekuan, pemulihan, atau pengembalian . Alamat penyerang didanai melalui Tornado Cash, sebuah pencampur privasi yang biasa digunakan dalam eksploitasi DeFi untuk menyembunyikan asal dana transaksi . Belum ada penangkapan atau pergerakan dana yang dilaporkan secara publik.

Insiden ini menggarisbawahi tantangan persisten dalam keamanan DeFi: bahkan infrastruktur dompet yang telah diaudit dengan baik pun dapat dikompromikan melalui modul pihak ketiga yang diintegrasikan pengguna tanpa memeriksa properti keamanannya secara menyeluruh. Bagi pengguna Gnosis Safe, pelajarannya jelas—setiap modul yang ditambahkan ke Safe memperluas permukaan serangan, dan kerentanan modul dapat mengesampingkan perlindungan multi-tanda tangan yang seharusnya membuat Safe menjadi aman.