セキュリティ企業のBlockaidは、Ethereum上のEkuboプロトコルのカスタム拡張契約において脆弱性を特定し、約140万ドルの損失が発生したと報告しました。この脆弱性は、支払いコールバック時に支払者がロックの開始者または認可された支払者であるかを契約が検証しないことに起因しています。この欠陥により、攻撃者はtransferFrom関数を使用して、契約にERC-20の許可を与えたユーザーから資金を引き出すことが可能となります。現在のところ、v2契約を支出者として認可したユーザーのみがリスクにさらされています。