Wasabi Protocol 因疑似 admin key 洩露被盜取 450 萬美元

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯5129 字

Wasabi Protocol 因管理密钥泄露被盗 450 万美元此次攻击所使用的手法与本月初 Drift 发生的 2.85 亿美元被盗事件如出一辙：攻击者利用了一个没有设置时间锁（timelock）或多签（multisig）的部署者密钥，从而盗取了资金。核心要点： - Wasabi Protocol 是一个部署在 Ethereum 和 Base 上的永续合约交易平台，在攻击者窃取其部署者管理密钥后，约 455 万美元资金被盗。 - 攻击者利用被盗密钥授予自己管理员权限，并将 Wasabi 的金库合约更改为恶意版本，从而从两条链上的多个资金池中抽干了资产。 - 该事件由于缺乏时间锁或多签等管理角色保护措施，使得今年 DeFi 损失总额超过 7.7 亿美元，且与近期 Drift Protocol 和 Kelp DAO 的密钥泄露攻击事件存在相似之处。 DeFi 行业止血无望，Wasabi Protocol 成了最新受害者。安全公司 Blockaid 在 X 上发文称，该协议是一个构建在 Ethereum 和 Base 上的永续合约交易平台，周四因部署者密钥泄露，约 455 万美元资金被盗。这是本月发生的最新一起黑客攻击事件，本月至少发生了 12 起事件，导致 DeFi 损失超过 6.05 亿美元。此次攻击与 4 月 1 日 Drift Protocol 的漏洞利用事件高度相似，当时与朝鲜有关的攻击者利用被盗的管理密钥，从这家基于 Solana 的永续合约交易所盗走了 2.85 亿美元。攻击机制是通过一个名为 wasabideployer.eth 的外部账户（EOA）进行的，该账户在 Wasabi 的权限系统中拥有唯一的 ADMIN_ROLE。 EOA 是由私钥控制的钱包，与智能合约不同。任何持有密钥的人都能控制该钱包。一旦攻击者获得了部署者密钥，他们便通过调用权限合约上的 grantRole，在零延迟的情况下授予了自己管理员权限。 Blockaid 表示，他们的辅助合约随后将 Wasabi 的永续合约金库和 Long Pool 升级为恶意版本，从而抽干了余额。此次攻击依赖于一种名为通用可升级代理标准（UUPS）的标准，该标准允许智能合约在保持地址不变的情况下更改其底层代码。 UUPS 被广泛使用，因为它允许开发者在不迁移用户的情况下修复漏洞。其缺点在于，如果攻击者控制了管理员权限，他们可以将合约逻辑替换为任何他们想要的内容，包括旨在窃取资金的代码。 Blockaid 指出，Wasabi 没有设置时间锁或多签来保护管理角色。时间锁强制要求在宣布管理操作和执行操作之间设置延迟，从而给用户留出反应时间。多签则要求多个签名者批准变更。Wasabi 两者皆无，导致单一密钥掌握了协议的全部控制权。 🚨 Blockaid 的漏洞检测系统识别出 @wasabi_protocol 在 Ethereum 和 Base 上正在进行的管理密钥泄露攻击。Wasabi: Deployer EOA 被用于向攻击者的辅助合约授予 ADMIN_ROLE，随后通过 UUPS 将永续合约金库和 LongPool 升级为…… — Blockaid (@blockaid_) 2026 年 4 月 30 日据 Blockaid 称，受影响的合约包括 Wasabi 在 Ethereum 上的 wWETH、sUSDC、wBITCOIN、wPEPE 和 Long Pool 金库，以及在 Base 上的 sUSDC、wWETH、sBTC、sVIRTUAL、sAERO 和 sBRETT 金库。持有 Wasabi LP 代币的用户被敦促撤销对金库合约的所有活跃授权，因为支撑这些代币的底层资产要么已被盗走，要么仍处于风险之中。漏洞频发的一个月在 Drift 的案例中，攻击者同样利用了没有治理时间锁的单密钥管理设置，通过列出虚假代币作为抵押品并提高提现限额，在约 12 分钟内盗走了真实资产。三周后的 4 月 19 日，Kelp DAO 损失了 2.92 亿美元，当时攻击者利用了该协议 LayerZero 桥中的单验证器配置漏洞，释放了 116,500 枚无抵押的 rsETH，随后被用作抵押品从 Aave 借出了真实的以太币（ETH）。 2026 年 DeFi 的累计损失总额现已超过 7.7 亿美元，涉及 30 多起报告事件。仅 4 月份就占了该数字的大部分。

数据状态✓ 已抓取全文阅读原文（CoinDesk）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-04-30

Wasabi Protocol 因疑似 admin key 洩露被盜取 450 萬美元

相似度 430%關鍵字 apparent/drained/million

2026-04-30

Wasabi Protocol 在攻擊者跨 3 條鏈奪取 Deployer Admin Key 後損失 500 萬美元

相似度 230%關鍵字 key/protocol/wasabi

2026-04-30

Wasabi Protocol 500 万美元被盗事件加速了 AI 驱动的 DeFi 黑客理论

相似度 180%關鍵字 protocol/million/wasabi

2026-04-30

Wasabi Protocol 遭駭 290 萬鎂！攻擊者透過部署錢包取得特權角色

相似度 130%關鍵字 protocol/wasabi

2026-04-30

Wasabi Protocol 爆出遭駭 550 萬鎂！攻擊者透過錢包合約取得管理員權限

相似度 130%關鍵字 protocol/wasabi

2026-04-24

Cluster Protocol 筹集 500 万美元以加速开发 CodeXero，这是一款面向 EVM 的浏览器原生 Vibe Coding AI IDE，融资总额达到 775 万美元

相似度 130%關鍵字 protocol/million

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：133b86729f

来源：CoinDesk

发布：2026-04-30 09:37:47

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言