PANews는 5월 6일 Blockaid 모니터링 결과를 인용하여, 이더리움 기반의 Ekubo 프로토콜 커스텀 확장 계약이 새벽에 공격을 받아 약 140만 달러 상당의 자산이 탈취되었다고 보도했습니다. Ekubo 사용자 본인은 이번 공격의 영향을 받지 않았으며, V2 계약을 토큰 지출자로 승인한 사용자만 위험에 처해 있습니다. 이 취약점은 Ekubo 확장 계약의 `IPayer.pay` 콜백 함수에서 발생합니다. `token.transferFrom` 함수의 `payer`, `token`, `amount` 매개변수는 락 페이로드에서 직접 전달되며 공격자가 제어할 수 있습니다. 해당 계약은 지불자가 락을 시작한 사람인지 또는 승인된 지불자인지 여부를 확인하지 않습니다. 공격자는 사용자가 이전에 계약에 부여한 ERC-20 토큰 승인 정보를 악용하여, 코어 락을 통해 확장 계약으로 전달된 정보를 이용해, 승인된 사용자를 지불자로 설정하고 자신을 출금 수령자로 지정함으로써 자산을 탈취할 수 있습니다.

이전 보고서에 따르면 EVM 체인의 Ekubo Swap 라우팅 계약에서 보안 사고가 발생했으며 관련 주소에 대한 권한을 취소하는 것이 권고되었습니다 .