Exploit del Contratto Intelligente di ShapeShift
La società di sicurezza blockchain Blockaid ha segnalato un exploit attivo del contratto intelligente che ha drenato 132.700 dollari dalla FOX Colony di ShapeShift su Arbitrum. Blockaid ha comunicato l’incidente su X il 13 maggio, identificando il portafoglio dell’attaccante con l’indirizzo 0xeed236Afb6967f74099a0a6bf078BC6b865fbf28.
Dettagli sull’Incident
La FOX Colony è il programma di governance e partecipazione della comunità di ShapeShift, che consente ai detentori di token FOX di mettere in staking, votare e partecipare ad attività ecosistemiche attraverso i contratti Colony Network su Arbitrum.
Secondo l’analisi di Blockaid, la vulnerabilità risiede nella funzione executeMetaTransaction. L’attaccante ha meta-firmato una transazione mirata, ha reindirizzato il risolutore della colonia a un contratto malevolo e poi ha utilizzato una chiamata delegata per drenare i fondi. Poiché qualsiasi indirizzo esterno può chiamare la funzione di registrazione interessata senza modificatori di autorizzazione, il difetto è effettivamente equivalente a rendere disponibile una copia della chiave del protocollo a qualsiasi attaccante che la trovi.
Avviso alla Comunità DeFi
Blockaid ha avvisato la comunità DeFi più ampia che ogni colonia della Colony Network che espone
executeMetaTransactionsopraEtherRouter, su qualsiasi catena, condivide la stessa superficie di attacco potenziale.
ShapeShift non aveva emesso una dichiarazione pubblica sull’exploit al momento della scrittura. Questo avviso si inserisce in un periodo difficile per la sicurezza DeFi nel 2026.
Contesto degli Exploit DeFi
Blockaid aveva precedentemente segnalato un exploit di 5 milioni di dollari su Wasabi Protocol attraverso Ethereum e Base ad aprile, dove una chiave di amministratore compromessa è stata utilizzata per drenare più contratti di vault. All’inizio di maggio, Blockaid ha identificato un exploit di 6,7 milioni di dollari su TrustedVolumes, un fornitore di liquidità DeFi che serve 1inch e altri aggregatori.
Aprile 2026 ha registrato il mese peggiore per gli exploit DeFi nella storia, con circa 625 milioni di dollari drenati in 28 incidenti separati. La società ha anche avvisato gli utenti di CoW Swap ad aprile di un dirottamento del frontend, in cui gli attaccanti hanno compromesso il sito del progetto per servire richieste di transazione malevole.
Blockaid esamina oltre 500 milioni di transazioni blockchain al mese e fornisce infrastrutture di sicurezza a Coinbase, MetaMask, Uniswap e OKX.
