柴犬生态Shibarium遭黑客攻击，损失240万美元：事件经过与后续应对

柴犬社区近期遭遇了重大安全事件，其第二层区块链Shibarium遭到黑客攻击，导致价值约240万美元的ETH和SHIB被盗。

据悉，此次攻击发生在9月12日。据早先报道，区块链安全平台PeckShield率先披露了这一事件，引发公众关注。

黑客攻击的具体过程

漏洞发生后，企业家马里奥·纳法尔（Mario Nawfal）详细解释了攻击的过程。他指出，攻击者从ShibaSwap中通过闪电贷获取了价值约100万美元的BONE代币。

根据区块链数据，攻击者利用盗取的资金偿还了闪电贷，同时保留了数百万美元的利润。此外，他们还试图抛售价值约70万美元的KNINE代币，但由于K9 Finance迅速将攻击者的钱包列入黑名单，所有尝试均告失败。

目前，攻击者无法转移或使用KNINE资产。为了追回被盗资金，K9团队已向攻击者提供5 ETH的赏金，以换取归还KNINE代币及相关链上数据。

与此同时，为防止进一步损失，Shibarium团队冻结了质押和取消质押功能，并将权益管理资金转移到更安全的多重签名钱包中。团队还引入了Hexens、Seal911和PeckShield等多家安全公司进行联合调查。

Merkle Root漏洞分析

安全分析师在事件发生后进一步揭露了漏洞的技术细节。Tikkala Security指出，与ShibaSwap相关的多个签名密钥遭到泄露，直接导致了约280万美元的额外损失。

Shibaswap似乎有多个签名者密钥泄露，导致今日损失280万美元@Shibtoken. 攻击者（https://t.co/B9pqiGqIvy)通过提供合法的Merkle叶节点退出请求，从由10个不同地址签名的根节点多次提现。这些“合法”的……

— 蒂卡拉安全 (@TikkalaResearch) 2025年9月12日

报告显示，攻击者通过插入一个看似有效的、由十个地址签名的根节点，滥用了Merkle根节点检查点。一旦该根节点上线，攻击者便可伪装虚假的退出请求为合法请求，从而通过多笔交易窃取更多资金。

Pulse Digital也确认了这一点，并解释称Merkle根实际上成为了ShibaSwap的“万能钥匙”，绕过了根链管理器合约的信任机制。攻击者利用受损版本向系统提供伪造证据，成功窃取资产。

Pulse Digital强调，此类漏洞暴露了项目治理不善和密钥管理薄弱的问题。他们呼吁ShibaSwap公布事件的完整时间线、签名者地址列表，并委托独立审计机构进行全面审查。

柴犬生态系统团队的应对措施

开发者Kaal Dhairya表示，此次攻击是一次精心策划的行为，可能已经酝酿数月。他证实，黑客通过闪电贷购买了超过460万个BONE，获取验证者签名密钥，并通过签署恶意状态提取资产。