Ai总结： 区块链安全公司Blockaid披露一起针对Arbitrum上FOX Colony合约的严重漏洞，攻击者利用元交易功能转移资金，累计造成超18万美元损失。该漏洞波及所有基于EtherRouter的Colony Network部署，引发社区对多链生态安全的广泛担忧。

多链协议漏洞致巨额资产流失，安全机构发出联合预警

区块链安全企业Blockaid近日揭示一例高危智能合约缺陷，致使ShapeShift在Arbitrum网络上的FOX Colony项目遭受约13.27万美元资金外流。攻击者通过操纵executeMetaTransaction接口，实施委托调用并引导资金流向恶意地址，首次攻击后不久再度触发相似漏洞，造成额外近5万美元损失，总金额逼近18.27万美元。

核心函数存在权限缺陷，攻击路径可被公开复现

Blockaid于5月13日公布事件详情，确认攻击钱包身份。分析指出，漏洞根源在于executeMetaTransaction函数未对调用方进行有效权限校验。攻击者伪造元签名，将合约解析器重定向至恶意合约地址，借助委托调用机制完成资金转移。由于该功能对外部地址开放且无准入限制，实质等同于向全网暴露协议控制密钥。

生态级风险蔓延，多链部署面临系统性威胁

该公司已向DeFi生态系统发出紧急警示，指出所有采用EtherRouter框架的Colony Network实例，无论运行于何条公链，均可能遭受相同类型攻击。目前ShapeShift尚未回应此事件。这已是2026年发生的又一起重大安全事故，凸显去中心化协议在快速迭代中对底层逻辑验证的忽视。

此前四月，Blockaid曾报告Wasabi Protocol在以太坊与Base链遭遇价值500万美元的攻击，系因管理员密钥泄露导致多个资金池被清空。五月初，其又揭露流动性服务商TrustedVolumes遭670万美元劫掠。数据显示，2026年4月成为去中心化金融领域漏洞事件最密集月份，共发生28起独立攻击，累计损失达6.25亿美元。

此外，该公司在四月还预警了CoW Swap用户界面遭劫持事件，攻击者通过篡改前端代码推送虚假交易提示。目前，Blockaid每日监控超过5亿笔链上交易，为多家头部加密平台提供关键安全防护支持。