Blockaid揭示多链合约漏洞，导致ShapeShift等项目接连遭袭

区块链安全机构Blockaid通报一起针对Arbitrum网络上FOX Colony协议的智能合约攻击事件，造成约13.27万美元资产被盗。攻击者利用executeMetaTransaction功能中的设计缺陷，通过元签名与委托调用机制将资金转移至恶意地址。数小时内，同一漏洞再次被利用，引发第二轮损失，总额逼近18.27万美元。

核心功能存在权限缺陷，攻击面广泛暴露

该漏洞根源在于executeMetaTransaction函数缺乏对调用方身份的有效验证。攻击者可伪造元签名，引导合约解析器跳转至恶意合约，从而绕过权限控制完成资金提取。由于外部账户无需授权即可触发注册流程，该机制实质等同于公开协议密钥，使任何发现者均可发起攻击。

全生态部署面临系统性威胁，社区亟待响应

Blockaid指出，所有基于EtherRouter框架构建的Colony Network部署均存在相同风险点，无论其运行于以太坊、Arbitrum或其他兼容链。尽管ShapeShift尚未回应，但此事件已构成2026年第一季度持续爆发的系列安全危机之一。此前，该公司已报告Wasabi Protocol遭遇500万美元攻击，以及TrustedVolumes平台损失670万美元，凸显去中心化金融生态在关键基础设施层面的脆弱性。

数据显示，2026年4月共发生28起独立智能合约漏洞事件，累计造成约6.25亿美元资产流失，成为历史上最严重的单月损失记录。此外，4月还出现CoW Swap用户界面劫持事件，攻击者通过篡改前端页面诱导用户签署恶意交易。目前，Blockaid每日监测超5亿笔链上交易，为多个主流协议提供实时威胁检测服务。