摘要:区块链安全公司Blockaid披露多起严重漏洞事件,涉及ShapeShift在Arbitrum上FOX Colony合约被攻击,累计损失超18万美元。攻击者利用executeMetaTransaction功能缺陷实施资金转移,且影响范围波及所有基于EtherRouter的Colony Network部署。
币圈界报道:
多链智能合约漏洞引发巨额资金外流,安全机构发出紧急预警
区块链安全企业Blockaid揭示一起针对ShapeShift在Arbitrum网络上部署的FOX Colony合约的协同攻击事件,导致约13.27万美元资产流失。攻击者通过操控executeMetaTransaction接口,以委托调用方式将资金引向恶意地址,在首次得手后不久再度发动类似攻击,造成额外5万美元损失,总金额逼近18.27万美元。
核心函数存在设计缺陷,任意外部调用可触发资金劫持
Blockaid于5月13日公开披露该事件并公布攻击钱包地址。技术分析显示,漏洞根源在于executeMetaTransaction函数未对元签名调用进行充分验证,攻击者可伪造签名将合约解析器重定向至其控制的恶意地址,进而借由委托调用完成资金抽逃。由于注册功能对外部地址开放且无需权限,此漏洞等同于向全网暴露协议访问密钥。
生态级风险扩散,所有基于EtherRouter的Colony部署均存隐患
该公司向去中心化金融社区发出明确警示,指出凡采用EtherRouter框架构建的Colony Network实例,无论部署于何种公链,皆面临相同攻击路径。截至发稿,ShapeShift尚未就此次事件作出官方回应。这已是2026年第二起引发广泛关注的DeFi协议安全危机。
此前四月,Blockaid曾报告Wasabi Protocol遭遇大规模攻击,攻击者凭借被盗管理员密钥清空多个资金池,造成逾500万美元损失;五月初又发现流动性服务商TrustedVolumes遭受670万美元资金侵蚀。数据显示,2026年4月成为去中心化金融领域漏洞事件最密集的月份,共记录28起独立攻击,累计损失达6.25亿美元。
此外,该公司在四月还预警了CoW Swap用户界面遭劫持事件,攻击者通过篡改前端代码诱导用户签署恶意交易。目前,Blockaid每日监控超过5亿笔链上交易,为多家主流区块链平台提供实时安全防护支持。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。