Eksploitasi Kontrak Pintar di FOX Colony
Perusahaan keamanan blockchain, Blockaid, mengungkapkan adanya eksploitasi kontrak pintar yang mengakibatkan kerugian sebesar $132,700 dari FOX Colony milik ShapeShift di Arbitrum. Blockaid mengumumkan insiden ini melalui platform X pada 13 Mei, dengan mengidentifikasi dompet penyerang yang terletak di alamat 0xeed236Afb6967f74099a0a6bf078BC6b865fbf28.
Fungsi executeMetaTransaction dan Kerentanan
FOX Colony merupakan program tata kelola dan partisipasi komunitas ShapeShift, yang memungkinkan pemegang token FOX untuk melakukan staking, memberikan suara, dan terlibat dalam aktivitas ekosistem melalui kontrak Colony Network di Arbitrum. Menurut analisis Blockaid, kerentanan terletak pada fungsi executeMetaTransaction. Penyerang berhasil menandatangani transaksi yang ditargetkan secara meta, mengalihkan resolver koloni ke kontrak jahat, dan kemudian menggunakan panggilan delegasi untuk menguras dana.
Karena alamat eksternal mana pun dapat memanggil fungsi pendaftaran yang terpengaruh tanpa modifikasi izin, cacat ini secara efektif setara dengan memberikan akses kunci protokol kepada penyerang yang menemukannya. Blockaid memperingatkan komunitas DeFi yang lebih luas bahwa setiap koloni di Colony Network yang mengekspos executeMetaTransaction di atas EtherRouter, di mana pun rantainya, memiliki permukaan serangan yang sama.
Tantangan Keamanan DeFi
Hingga saat ini, ShapeShift belum mengeluarkan pernyataan publik mengenai eksploitasi ini. Peringatan ini menambah daftar tantangan yang dihadapi keamanan DeFi pada tahun 2026. Sebelumnya, Blockaid juga mengungkap eksploitasi senilai $5 juta pada Wasabi Protocol di Ethereum dan Base pada bulan April, di mana kunci admin yang dikompromikan digunakan untuk menguras beberapa kontrak vault. Di awal bulan Mei, Blockaid mengidentifikasi eksploitasi senilai $6,7 juta pada TrustedVolumes, penyedia likuiditas DeFi yang melayani 1inch dan agregator lainnya.
Statistik Eksploitasi DeFi
April 2026 tercatat sebagai bulan terburuk untuk eksploitasi DeFi dalam sejarah, dengan sekitar $625 juta hilang akibat 28 insiden terpisah. Blockaid juga memperingatkan pengguna CoW Swap pada bulan April tentang pembajakan frontend, di mana penyerang mengkompromikan situs proyek untuk menyajikan prompt transaksi jahat. Saat ini, Blockaid memantau lebih dari 500 juta transaksi blockchain per bulan dan menyediakan infrastruktur keamanan untuk platform-platform besar seperti Coinbase, MetaMask, Uniswap, dan OKX.
