DeFi安全警报:多链合约漏洞致百万美元损失

多链合约漏洞致ShapeShift项目损失逾18万美元

区块链安全机构Blockaid揭示,ShapeShift在Arbitrum网络上运营的FOX Colony项目遭遇连续攻击,因智能合约中executeMetaTransaction功能存在设计缺陷,导致资金被转移至恶意地址。首次攻击造成132,700美元损失,数日后同一漏洞再次被利用,追加损失约50,000美元,总金额逼近183,000美元。

元交易接口成攻击入口,权限机制形同虚设

事件调查显示,攻击者通过伪造元签名,诱导合约解析器将执行路径重定向至其控制的恶意合约,再借由委托调用完成资金抽离。由于外部账户可无条件触发该注册功能,系统实质上等同于向全网公开了访问密钥,极大降低了攻击门槛。

跨链生态面临系统性威胁,安全预警持续升级

Blockaid明确指出,所有采用EtherRouter框架部署的Colony Network实例,无论运行于哪个公链,均存在相同攻击面。目前ShapeShift尚未回应此事件。这已是2026年第四起重大协议安全事件,凸显去中心化金融基础设施在快速迭代中暴露的安全短板。

此前四月,该公司曾报告Wasabi Protocol遭管理员密钥泄露,引发以太坊与Base链上多个资金池被清空,损失达500万美元;五月初又发现流动性服务商TrustedVolumes遭遇670万美元资产外流。数据显示,2026年4月成为去中心化金融领域漏洞事件最密集月份,28起独立攻击共造成约6.25亿美元损失。

此外,Blockaid还曾在四月预警CoW Swap用户界面遭劫持,攻击者通过篡改前端代码推送虚假交易指令。目前该机构每日监控超过5亿笔链上交易,为多家头部加密平台提供实时威胁检测服务。