Wasabi Protocol 因疑似管理員金鑰外洩遭竊取 450 萬美元

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯5129 字

Wasabi Protocol 因管理員金鑰疑似遭駭，損失 450 萬美元此次攻擊手法與本月初 Drift 遭駭 2.85 億美元的事件如出一轍：攻擊者利用缺乏 timelock 或 multisig 機制的受駭部署者金鑰（deployer key）竊取資金。重點摘要： - 運行於 Ethereum 與 Base 上的永續合約交易平台 Wasabi Protocol，因攻擊者入侵其部署者管理員金鑰，導致約 455 萬美元資金被竊。 - 攻擊者利用該受駭金鑰授予自己管理員權限，並將 Wasabi 的金庫合約（vault contracts）替換為惡意版本，進而從兩條鏈上的多個資金池中抽走資產。 - 該事件由於管理員角色缺乏 timelock 或 multisig 等安全防護，使得今年 DeFi 累計損失超過 7.7 億美元，且與近期 Drift Protocol 和 Kelp DAO 的金鑰入侵事件手法相似。 DeFi 的失血狀況難以止住，而 Wasabi Protocol 成為最新受害者。安全公司 Blockaid 在 X 上發文指出，該協議是一個建立在 Ethereum 與 Base 上的永續合約交易平台，週四因攻擊者入侵其部署者金鑰，導致約 455 萬美元資金被竊。這是本月發生的最新一起駭客攻擊，本月至少已發生 12 起事件，造成超過 6.05 億美元的 DeFi 損失。此次攻擊與 4 月 1 日 Drift Protocol 的駭客事件極為相似，當時與北韓相關的攻擊者利用受駭管理員金鑰，從該 Solana 鏈上的永續合約交易所竊取了 2.85 億美元。攻擊機制是透過一個名為 wasabideployer.eth 的外部擁有帳戶（EOA）進行，該帳戶在 Wasabi 的權限系統中持有唯一的 ADMIN_ROLE。 EOA 是由私鑰控制的錢包，與智慧合約不同。任何持有該金鑰的人都能控制錢包。一旦攻擊者取得部署者金鑰，他們便透過在權限合約上呼叫 grantRole，毫無延遲地授予自己管理員權限。 Blockaid 表示，攻擊者的輔助合約隨後將 Wasabi 的 perp vaults 和 Long Pool 升級為惡意版本，進而抽乾餘額。此次攻擊依賴於一種稱為 Universal Upgradeable Proxy Standard (UUPS) 的標準，該標準允許智慧合約在保持相同地址的情況下更改底層程式碼。 UUPS 被廣泛使用，因為它讓開發者無需遷移用戶即可修復漏洞。缺點在於，如果攻擊者控制了管理員權限，他們可以將合約邏輯替換為任何他們想要的內容，包括旨在竊取資金的程式碼。 Blockaid 指出，Wasabi 沒有使用 timelock 或 multisig 來保護管理員角色。timelock 會強制要求管理員操作在宣布與執行之間設置延遲，給予用戶反應時間。multisig 則要求多個簽署人批准變更。Wasabi 兩者皆無，導致單一金鑰掌握了協議的完全控制權。 🚨 Blockaid 的漏洞檢測系統識別出 @wasabi_protocol 在 Ethereum 和 Base 上正在發生的管理員金鑰入侵攻擊。Wasabi: Deployer EOA 被用於授予 ADMIN_ROLE 給攻擊者的輔助合約，隨後透過 UUPS 將 perp vaults 和 LongPool 升級為…… — Blockaid (@blockaid_) April 30, 2026 根據 Blockaid 的說法，受影響的合約包括 Wasabi 在 Ethereum 上的 wWETH、sUSDC、wBITCOIN、wPEPE 和 Long Pool 金庫，以及在 Base 上的 sUSDC、wWETH、sBTC、sVIRTUAL、sAERO 和 sBRETT 金庫。持有 Wasabi LP 代幣的用戶被敦促撤銷對金庫合約的任何有效授權，因為支撐這些代幣的底層資產已被抽乾或仍處於風險之中。駭客攻擊頻發的一個月在 Drift 的案例中，攻擊者同樣利用了缺乏治理 timelock 的單一金鑰管理設置，透過列出虛假代幣作為抵押品並提高提款限額，在約 12 分鐘內抽乾了真實資產。三週後的 4 月 19 日，Kelp DAO 因攻擊者利用協議 LayerZero

資料狀態✓ 已擷取全文閱讀原文（CoinDesk）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-04-30

Wasabi Protocol 因疑似管理員金鑰外洩遭駭，損失 450 萬美元

相似度 430%關鍵字 apparent/drained/million

2026-04-30

Wasabi Protocol 因攻擊者奪取 3 條鏈上的 Deployer Admin Key 而損失 5M 美元

相似度 230%關鍵字 key/protocol/wasabi

2026-04-30

Wasabi Protocol 500 萬美元遭駭事件加速了 AI 驅動的 DeFi 駭客理論

相似度 180%關鍵字 protocol/million/wasabi

2026-04-30

Wasabi Protocol 爆出遭駭 290 萬鎂！攻擊者透過部署錢包取得特權角色

相似度 130%關鍵字 protocol/wasabi

2026-04-30

Wasabi Protocol 遭駭 550 萬鎂！攻擊者透過錢包合約取得管理員權限

相似度 130%關鍵字 protocol/wasabi

2026-04-24

Cluster Protocol 籌集 500 萬美元以加速開發 CodeXero，這是一款適用於 EVM 的瀏覽器原生 Vibe Coding AI IDE，總融資額達到 775 萬美元

相似度 130%關鍵字 protocol/million

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：133b86729f

來源：CoinDesk

發佈：2026-04-30 09:37:47

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言