Wasabi Protocol 在攻擊者跨 3 條鏈奪取 Deployer Admin Key 後損失 500 萬美元

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯5527 字

一名攻击者于周四控制了 Wasabi Protocol 的部署者管理密钥，从三个区块链的 perp vaults 和流动性池中窃取了约 450 万至 550 万美元。 Wasabi Protocol 在攻击者跨 3 条链获取部署者管理密钥后损失 500 万美元关键要点： - 一名攻击者于 2026 年 4 月 30 日通过入侵部署者 EOA 管理密钥，从 Wasabi Protocol 窃取了 450 万至 550 万美元。 - Virtuals Protocol 在漏洞发生后立即冻结了保证金存款，但其自身的安全性保持完好。 - Wasabi Protocol 尚未发布公开声明；用户必须撤销在 Ethereum、Base 和 Blast 上的所有授权。 DeFi 协议 Wasabi 在管理密钥黑客攻击中损失 500 万美元被入侵的地址 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8 是控制 Wasabi 的 Perpmanager 合约的唯一管理密钥。据报道，攻击者利用该密钥向一个恶意辅助合约授予了 ADMIN_ROLE，随后在 Wasabivault 代理和 Wasabilongpool 上执行了未经授权的 UUPS 代理升级，并清空了抵押品和资金池余额。安全公司 Hypernative 对所有三条链上的该事件发出了高严重性警报。Blockaid、Cyvers 和 Defimonalerts 也实时检测到了该活动。Hypernative 确认其并非 Wasabi 的客户，但独立检测到了此次漏洞，并承诺进行全面的技术分析。攻击始于 UTC 时间 07:48 左右，持续了约两个小时。部署者在 Ethereum、Base 和 Blast 上向攻击者控制的合约授予了 ADMIN_ROLE。随后，一个恶意合约在七到八个 WasabiVault 代理上调用了 strategyDeposit()，通过一个伪造的策略触发了 drain() 函数，将所有抵押品返还给攻击者。 Ethereum 和 Base 上的 Wasabilongpool 随后被升级为恶意实现，清空了剩余余额。资金被整合为 ETH，在必要时进行跨链，并分发到多个地址。早期报告指出，部分活动与 Tornado Cash 有关。据报道，单笔最大损失为 840.9 WETH，在攻击发生时价值超过 190 万美元。其他被窃资产包括 sUSDC、sREKT、PEPE、MOG、NEIRO、ZYN 和 bitcoin，以及 Base 链上的资产如 VIRTUAL、AERO 和 cbBTC。根据 Defillama 的数据，在漏洞利用前，Wasabi 在各链上的总锁仓量 (TVL) 约为 850 万美元。这是一次密钥管理失败，而非智能合约漏洞。攻击不涉及重入或逻辑漏洞。攻击者很可能是通过网络钓鱼、恶意软件或直接盗窃获取了私钥，然后滥用可升级代理架构，在不触发常规安全检查的情况下窃取了资金。通过 Wasabi 提供保证金存款的 Virtuals Protocol 在检测到漏洞后迅速采取了行动。团队冻结了所有保证金存款，并确认其自身安全性完全未受影响。Virtuals 上的交易、提现和代理操作未受干扰。团队警告用户避免签署任何与 Wasabi 相关的交易。截至最新可用数据，Wasabi Protocol 尚未发布公开声明或事件报告。该协议此前在处理无关事件时沟通迅速，并拥有来自 Zellic 和 Sherlock 的审计，但此次攻击完全绕过了这些保护措施。建议受影响的用户立即撤销在 Ethereum、Base 和 Blast 上的所有 Wasabi 授权。Revoke.cash、Etherscan 和 Basescan 等工具可以帮助识别活跃授权。任何剩余的 LP 头寸应立即撤回，在团队确认密钥轮换和合约完整性之前，不应签署任何与 Wasabi 相关的交易。该事件符合 2026 年 DeFi 领域出现的模式：可升级代理合约与中心化管理密钥相结合，造成了单点故障，绕过了即使是经过严格审计的代码。当一个密钥控制跨多条链的升级权限时，单一的入侵就会演变成整个协议的事件。 Wasabi 的漏洞并非孤立事件。2026 年 4 月，DeFi 协议在约十几起已确认的事件中损失了超过 6 亿美元，使其成为该行业有记录以来最糟糕的月份之一。4 月 1 日，攻击者利用治理操纵和预言机滥用，在不到

数据状态✓ 已抓取全文阅读原文（Bitcoin.com）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-04-30

Wasabi Protocol 因疑似 admin key 洩露被盜取 450 萬美元

相似度 230%關鍵字 key/protocol/wasabi

2026-04-30

Wasabi Protocol 因疑似 admin key 洩露被盜取 450 萬美元

相似度 230%關鍵字 key/protocol/wasabi

2026-04-22

继 KelpDAO 被攻击几天后，又一个 DeFi 协议遭黑客攻击损失数百万美元

相似度 180%關鍵字 protocol/loses/after

2026-04-30

Solana 收益协议 Carrot 在遭 Drift 漏洞攻击损失 800 万美元 TVL 后关闭

相似度 130%關鍵字 protocol/after

2026-04-30

Meta 股价因 AI 支出预期动摇股东信心而蒸发 1750 亿美元

相似度 130%關鍵字 loses/after

2026-04-30

在 CFTC 授予 Gemini Exchange 關鍵牌照後，GEMI 股價飆升

相似度 130%關鍵字 key/after

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：bcb9cf8a21

来源：Bitcoin.com

发布：2026-04-30 09:05:57

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言