PANews 5月6日消息，根據Blockaid監測，Ekubo Protocol在以太坊上的自訂擴展合約凌晨遭受攻擊，目前已被盜約140萬美元。 Ekubo用戶本身不受影響，只有授權該V2合約作為代幣支出者的用戶有風險。漏洞根源在於Ekubo擴展合約的IPayer.pay回呼函數中，token.transferFrom的payer、token和amount參數直接來自鎖定載荷，由攻擊者控制。合約未檢查payer是否為鎖定的發起者或授權的支付方，攻擊者可利用用戶先前對該合約的ERC-20授權，透過Core鎖定路由至擴展合約，將任意授權用戶設為payer並將自己設為提款接收方，從而盜取資產。

先前消息， Ekubo：Ekubo在EVM鏈上的Swap路由合約發生安全事件，建議撤銷相關位址授權。