Blockaidによる脆弱性警告
ブロックチェーンセキュリティ企業のBlockaidは、Arbitrum上のShapeShiftのFOX Colonyにおいて、$132,700が不正に引き出される脆弱性が存在することを警告しました。Blockaidは5月13日にX(旧Twitter)でこの問題を報告し、攻撃者のウォレットアドレスを0xeed236Afb6967f74099a0a6bf078BC6b865fbf28として特定しました。
FOX Colonyの概要
FOX ColonyはShapeShiftのコミュニティガバナンスおよび参加プログラムであり、FOXトークン保有者がArbitrum上のColony Network契約を通じてステーキング、投票、エコシステム活動に参加できる仕組みです。
脆弱性の詳細
Blockaidの分析によると、脆弱性はexecuteMetaTransaction関数に存在します。攻撃者はターゲットとなるトランザクションをメタ署名し、コロニーのリゾルバーを悪意のあるコントラクトに再指向させ、その後デリゲートコールを使用して資金を不正に引き出しました。この欠陥により、外部アドレスが許可修飾子なしで影響を受ける登録関数を呼び出すことができ、攻撃者にプロトコルのキーのコピーを見つける機会を与えることになります。
Blockaidは、EtherRouter上でexecuteMetaTransactionを公開しているすべてのColony Networkコロニーが同様の潜在的な攻撃面を共有していることを、広範なDeFiコミュニティに警告しました。
ShapeShiftの反応とDeFiの現状
執筆時点で、ShapeShiftはこの脆弱性について公に声明を出していません。この警告は、2026年のDeFiセキュリティの厳しい状況を浮き彫りにしています。Blockaidは以前、4月にEthereumとBaseでWasabi Protocolに対する$5百万の脆弱性を警告し、侵害された管理者キーが複数のボールトコントラクトを不正に引き出すために使用されました。
5月初旬には、Blockaidは1inchや他のアグリゲーターにサービスを提供するDeFi流動性プロバイダーTrustedVolumesに対する$6.7百万の脆弱性を特定しました。2026年4月は、記録上最悪のDeFi脆弱性の月であり、28件の別々の事件で約$625百万が不正に引き出されました。
同社はまた、4月にCoW Swapユーザーに対して、攻撃者がプロジェクトのサイトを侵害し、悪意のあるトランザクションプロンプトを表示させるフロントエンドハイジャックについて警告しました。Blockaidは毎月5億以上のブロックチェーントランザクションを監視し、Coinbase、MetaMask、Uniswap、OKXにセキュリティインフラを提供しています。
