Phát Hiện Lỗ Hổng Nghiêm Trọng Trong Hợp Đồng Thông Minh Của ShapeShift
Công ty bảo mật blockchain Blockaid vừa phát hiện một lỗ hổng nghiêm trọng trong hợp đồng thông minh của ShapeShift, dẫn đến việc rút 132,700 USD từ FOX Colony trên nền tảng Arbitrum. Vào ngày 13 tháng 5, Blockaid đã thông báo về sự cố này trên mạng xã hội X, đồng thời xác định ví tấn công với địa chỉ 0xeed236Afb6967f74099a0a6bf078BC6b865fbf28.
Thông Tin Về FOX Colony
FOX Colony là một chương trình quản trị cộng đồng của ShapeShift, cho phép những người nắm giữ token FOX tham gia staking, bỏ phiếu và thực hiện các hoạt động trong hệ sinh thái thông qua các hợp đồng Colony Network trên Arbitrum. Theo phân tích của Blockaid, lỗ hổng nằm trong chức năng executeMetaTransaction. Kẻ tấn công đã ký một giao dịch meta mục tiêu, chuyển hướng bộ giải quyết của colony đến một hợp đồng độc hại, và sau đó sử dụng một cuộc gọi ủy quyền để rút tiền.
Nguy Cơ Từ Lỗ Hổng
Vì bất kỳ địa chỉ bên ngoài nào cũng có thể gọi chức năng đăng ký bị ảnh hưởng mà không cần các bộ điều chỉnh quyền, lỗ hổng này thực sự tương đương với việc làm cho một bản sao của khóa giao thức có sẵn cho bất kỳ kẻ tấn công nào tìm thấy nó. Blockaid đã cảnh báo cộng đồng DeFi rằng mọi colony trong mạng Colony Network phơi bày executeMetaTransaction trên EtherRouter, trên bất kỳ chuỗi nào, đều chia sẻ cùng một bề mặt tấn công tiềm năng.
Hệ Quả Và Tình Hình Hiện Tại
Tại thời điểm viết bài, ShapeShift vẫn chưa phát hành tuyên bố công khai nào về lỗ hổng này. Cảnh báo này tiếp tục một chuỗi khó khăn cho an ninh DeFi trong năm 2026. Trước đó, Blockaid đã phát hiện một lỗ hổng trị giá 5 triệu USD trên Wasabi Protocol trên Ethereum và Base vào tháng 4, nơi một khóa quản trị bị xâm phạm đã được sử dụng để rút tiền từ nhiều hợp đồng vault. Vào đầu tháng 5, Blockaid cũng đã xác định một lỗ hổng trị giá 6.7 triệu USD trên TrustedVolumes, một nhà cung cấp thanh khoản DeFi phục vụ cho 1inch và các aggregator khác.
Thống Kê Về Các Vụ Lỗ Hổng DeFi
Tháng 4 năm 2026 đã ghi nhận tháng tồi tệ nhất cho các vụ lỗ hổng DeFi trong lịch sử, với khoảng 625 triệu USD bị rút ra từ 28 sự cố riêng biệt. Công ty cũng đã cảnh báo người dùng CoW Swap vào tháng 4 về việc bị chiếm quyền giao diện, nơi kẻ tấn công đã xâm phạm trang web của dự án để phục vụ các yêu cầu giao dịch độc hại. Blockaid hiện kiểm tra hơn 500 triệu giao dịch blockchain mỗi tháng và cung cấp cơ sở hạ tầng bảo mật cho các nền tảng lớn như Coinbase, MetaMask, Uniswap và OKX.
