FFeel.Trading
要聞列表Wasabi Protocol 因疑似管理員金鑰外洩遭竊取 450 萬美元
CoinDesk2026-04-30 09:37:47

Wasabi Protocol 因疑似管理員金鑰外洩遭竊取 450 萬美元

ORIGINALWasabi Protocol drained of $4.5 million in apparent admin key compromise
AI 影響分析Grok 分析中...
📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯5129 字
Wasabi Protocol 因管理員金鑰疑似遭駭,損失 450 萬美元 此次攻擊手法與本月初 Drift 遭駭 2.85 億美元的事件如出一轍:攻擊者利用缺乏 timelock 或 multisig 機制的受駭部署者金鑰(deployer key)竊取資金。 重點摘要: - 運行於 Ethereum 與 Base 上的永續合約交易平台 Wasabi Protocol,因攻擊者入侵其部署者管理員金鑰,導致約 455 萬美元資金被竊。 - 攻擊者利用該受駭金鑰授予自己管理員權限,並將 Wasabi 的金庫合約(vault contracts)替換為惡意版本,進而從兩條鏈上的多個資金池中抽走資產。 - 該事件由於管理員角色缺乏 timelock 或 multisig 等安全防護,使得今年 DeFi 累計損失超過 7.7 億美元,且與近期 Drift Protocol 和 Kelp DAO 的金鑰入侵事件手法相似。 DeFi 的失血狀況難以止住,而 Wasabi Protocol 成為最新受害者。 安全公司 Blockaid 在 X 上發文指出,該協議是一個建立在 Ethereum 與 Base 上的永續合約交易平台,週四因攻擊者入侵其部署者金鑰,導致約 455 萬美元資金被竊。 這是本月發生的最新一起駭客攻擊,本月至少已發生 12 起事件,造成超過 6.05 億美元的 DeFi 損失。此次攻擊與 4 月 1 日 Drift Protocol 的駭客事件極為相似,當時與北韓相關的攻擊者利用受駭管理員金鑰,從該 Solana 鏈上的永續合約交易所竊取了 2.85 億美元。 攻擊機制是透過一個名為 wasabideployer.eth 的外部擁有帳戶(EOA)進行,該帳戶在 Wasabi 的權限系統中持有唯一的 ADMIN_ROLE。 EOA 是由私鑰控制的錢包,與智慧合約不同。任何持有該金鑰的人都能控制錢包。一旦攻擊者取得部署者金鑰,他們便透過在權限合約上呼叫 grantRole,毫無延遲地授予自己管理員權限。 Blockaid 表示,攻擊者的輔助合約隨後將 Wasabi 的 perp vaults 和 Long Pool 升級為惡意版本,進而抽乾餘額。 此次攻擊依賴於一種稱為 Universal Upgradeable Proxy Standard (UUPS) 的標準,該標準允許智慧合約在保持相同地址的情況下更改底層程式碼。 UUPS 被廣泛使用,因為它讓開發者無需遷移用戶即可修復漏洞。缺點在於,如果攻擊者控制了管理員權限,他們可以將合約邏輯替換為任何他們想要的內容,包括旨在竊取資金的程式碼。 Blockaid 指出,Wasabi 沒有使用 timelock 或 multisig 來保護管理員角色。timelock 會強制要求管理員操作在宣布與執行之間設置延遲,給予用戶反應時間。multisig 則要求多個簽署人批准變更。Wasabi 兩者皆無,導致單一金鑰掌握了協議的完全控制權。 🚨 Blockaid 的漏洞檢測系統識別出 @wasabi_protocol 在 Ethereum 和 Base 上正在發生的管理員金鑰入侵攻擊。Wasabi: Deployer EOA 被用於授予 ADMIN_ROLE 給攻擊者的輔助合約,隨後透過 UUPS 將 perp vaults 和 LongPool 升級為…… — Blockaid (@blockaid_) April 30, 2026 根據 Blockaid 的說法,受影響的合約包括 Wasabi 在 Ethereum 上的 wWETH、sUSDC、wBITCOIN、wPEPE 和 Long Pool 金庫,以及在 Base 上的 sUSDC、wWETH、sBTC、sVIRTUAL、sAERO 和 sBRETT 金庫。 持有 Wasabi LP 代幣的用戶被敦促撤銷對金庫合約的任何有效授權,因為支撐這些代幣的底層資產已被抽乾或仍處於風險之中。 駭客攻擊頻發的一個月 在 Drift 的案例中,攻擊者同樣利用了缺乏治理 timelock 的單一金鑰管理設置,透過列出虛假代幣作為抵押品並提高提款限額,在約 12 分鐘內抽乾了真實資產。 三週後的 4 月 19 日,Kelp DAO 因攻擊者利用協議 LayerZero
資料狀態✓ 已擷取全文閱讀原文(CoinDesk)
🔍歷史類似事件· 關鍵字 + 標的比對6 則
2026-04-30
Wasabi Protocol 因疑似管理員金鑰外洩遭駭,損失 450 萬美元
相似度 430%關鍵字 wasabi/drained/key
2026-04-30
Wasabi Protocol 因攻擊者奪取 3 條鏈上的 Deployer Admin Key 而損失 5M 美元
相似度 230%關鍵字 wasabi/admin/key
2026-05-19
Echo Protocol 的 eBTC 因管理員金鑰外洩遭駭,損失 7,700 萬美元
相似度 200%關鍵字 admin/key/protocol
2026-04-30
Wasabi Protocol 500 萬美元遭駭事件加速了 AI 驅動的 DeFi 駭客理論
相似度 180%關鍵字 wasabi/protocol/million
2026-05-30
重力橋(Gravity Bridge)因疑似簽章金鑰外洩損失 540 萬美元
相似度 150%關鍵字 compromise/key/million
2026-05-19
Echo Protocol 在管理員金鑰遭入侵造成 81.6 萬美元損失後暫停 Monad 跨鏈橋
相似度 150%關鍵字 admin/key/protocol
💡 目前用關鍵字 + 標的比對(MVP)· 之後會升級為 embedding 語意搜尋
原始資訊
ID:133b86729f
來源:CoinDesk
發佈:2026-04-30 09:37:47
分類:一般 · 導出分類 neutral
標的:未指定
社群投票:+0 /0 · ⭐ 0 重要 · 💬 0 留言