Wasabi Protocol 因疑似管理員金鑰外洩遭駭，損失 450 萬美元

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯4957 字

Wasabi Protocol 因管理員金鑰遭竊導致 450 萬美元資金被盜此次攻擊手法與本月初 Drift 遭竊 2.85 億美元的事件如出一轍——皆因部署者金鑰（deployer key）遭竊，且缺乏 timelock 或 multisig 機制，最終導致資金被掏空。重點摘要： - 建立於 Ethereum 與 Base 上的永續合約交易平台 Wasabi Protocol，因攻擊者竊取其部署者管理員金鑰，導致約 455 萬美元資金被盜。 - 攻擊者利用遭竊金鑰授予自身管理員權限，並透過 UUPS 將 Wasabi 的金庫合約升級為惡意版本，進而從兩條鏈上的多個資金池中提取資產。 - 該事件凸顯了管理員角色缺乏 timelock 或 multisig 等安全防護措施的問題，使今年 DeFi 損失總額超過 7.7 億美元，並與近期 Drift Protocol 和 Kelp DAO 的金鑰遭竊攻擊如出一轍。 DeFi 的失血狀況無法停止，而 Wasabi Protocol 是最新受害者。安全公司 Blockaid 在 X 上發文指出，建立於 Ethereum 與 Base 上的永續合約交易平台 Wasabi Protocol 於週四遭駭，約 455 萬美元資金被盜，起因是協議的部署者金鑰遭竊。這起駭客攻擊是本月發生的第 12 起以上事件，本月 DeFi 損失總額已超過 6.05 億美元。攻擊機制涉及一個名為 wasabideployer.eth 的外部擁有帳戶（EOA），該帳戶在 Wasabi 的權限系統中持有唯一的 ADMIN_ROLE。 EOA 是由私鑰控制的錢包，與智慧合約不同。任何持有該金鑰的人都能控制錢包。一旦攻擊者取得部署者金鑰，他們便在權限合約上呼叫 grantRole，以零延遲的方式授予自身管理員權限。 Blockaid 表示，攻擊者的輔助合約隨後將 Wasabi 的 perp vaults 和 LongPool 升級為惡意實作，進而掏空餘額。此次攻擊依賴於 UUPS 可升級性，這是一種允許智慧合約在保持相同地址的情況下替換底層程式碼的模式。 UUPS 被廣泛使用，因為它讓開發者無需遷移用戶即可修復漏洞。這也意味著，如果攻擊者控制了管理員權限，他們可以將合約邏輯替換為任何他們想要的內容，包括旨在竊取資金的程式碼。 Blockaid 指出，Wasabi 的管理員角色沒有 timelock 或 multisig 保護。timelock 強制要求管理操作在宣布與執行之間必須有延遲，給予用戶反應時間；multisig 則要求多位簽署人批准變更。Wasabi 兩者皆無，導致單一金鑰掌握了協議的完全控制權。 🚨 Blockaid 的漏洞檢測系統識別出 @wasabi_protocol 在 Ethereum 和 Base 上正在進行的管理員金鑰遭竊攻擊。Wasabi: Deployer EOA 被用於將 ADMIN_ROLE 授予攻擊者的輔助合約，隨後透過 UUPS 將 perp vaults 和 LongPool 升級為…… — Blockaid (@blockaid_) April 30, 2026 根據 Blockaid 的說法，受影響的合約包括 Wasabi 在 Ethereum 上的 wWETH、sUSDC、wBITCOIN、wPEPE 和 Long Pool 金庫，以及在 Base 上的 sUSDC、wWETH、sBTC、sVIRTUAL、sAERO 和 sBRETT 金庫。持有 Wasabi LP 代幣的用戶被敦促撤銷對金庫合約的任何有效授權，因為支撐這些代幣的底層資產已被掏空或仍處於風險之中。 Wasabi 攻擊事件與 4 月 1 日的 Drift Protocol 駭客攻擊極為相似，當時與北韓有關的攻擊者利用遭竊的管理員金鑰，從該 Solana 鏈上的永續合約交易所竊取了 2.85 億美元。在該案中，攻擊者同樣利用了缺乏治理 timelock 的單一金鑰管理員設置，透過列出虛假代幣作為抵押品並提高提款限額，在約 12 分鐘內掏空了真實資產。三週後的 4 月 19 日，Kelp DAO 因攻擊者利用協議 LayerZero

資料狀態✓ 已擷取全文閱讀原文（CoinDesk）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-04-30

Wasabi Protocol 因疑似管理員金鑰外洩遭竊取 450 萬美元

相似度 430%關鍵字 apparent/drained/million

2026-04-30

Wasabi Protocol 因攻擊者奪取 3 條鏈上的 Deployer Admin Key 而損失 5M 美元

相似度 230%關鍵字 key/protocol/wasabi

2026-04-30

Wasabi Protocol 500 萬美元遭駭事件加速了 AI 驅動的 DeFi 駭客理論

相似度 180%關鍵字 protocol/million/wasabi

2026-04-30

Wasabi Protocol 爆出遭駭 290 萬鎂！攻擊者透過部署錢包取得特權角色

相似度 130%關鍵字 protocol/wasabi

2026-04-30

Wasabi Protocol 遭駭 550 萬鎂！攻擊者透過錢包合約取得管理員權限

相似度 130%關鍵字 protocol/wasabi

2026-04-24

Cluster Protocol 籌集 500 萬美元以加速開發 CodeXero，這是一款適用於 EVM 的瀏覽器原生 Vibe Coding AI IDE，總融資額達到 775 萬美元

相似度 130%關鍵字 protocol/million

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：f0550d2705

來源：CoinDesk

發佈：2026-04-30 09:37:47

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言