FFeel.Trading
要闻列表Wasabi Protocol 因疑似 admin key 洩露被盜取 450 萬美元
CoinDesk2026-04-30 09:37:47

Wasabi Protocol 因疑似 admin key 洩露被盜取 450 萬美元

ORIGINALWasabi Protocol drained for $4.5 million in apparent admin key compromise
AI 影响分析Grok 分析中...
📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯4957 字
Wasabi Protocol 因管理密钥泄露被盗 450 万美元 此次攻击与本月初 Drift 发生的 2.85 亿美元漏洞事件手法相似——部署者密钥泄露且缺乏 timelock 或 multisig 保护,导致资金被盗。 核心要点: - Wasabi Protocol 是一个基于 Ethereum 和 Base 的永续合约交易平台,因攻击者泄露了其部署者管理密钥,导致约 455 万美元资金被盗。 - 攻击者利用泄露的密钥授予自己管理员权限,并将 Wasabi 的金库合约 UUPS 升级为恶意版本,从而耗尽了两个链上多个资金池的资产。 - 该事件由于在管理角色上缺乏 timelock 或 multisig 等安全保障,使得今年 DeFi 损失总额超过 7.7 亿美元,并与近期 Drift Protocol 和 Kelp DAO 的密钥泄露攻击如出一辙。 DeFi 行业止血无望,Wasabi Protocol 成为最新受害者。 安全公司 Blockaid 在 X 上发文称,周四,基于 Ethereum 和 Base 构建的永续合约交易平台 Wasabi Protocol 因协议部署者密钥泄露,约 455 万美元资金被盗。 这是本月发生的最新一起黑客攻击事件,本月至少发生了 12 起事件,导致 DeFi 损失超过 6.05 亿美元。 其机制是一个名为 wasabideployer.eth 的外部拥有账户(EOA),该账户在 Wasabi 的权限系统中持有唯一的 ADMIN_ROLE。 EOA 是由私钥控制的钱包,与智能合约不同。谁持有密钥,谁就控制钱包。一旦攻击者获得部署者密钥,他们就会在权限合约上调用 grantRole,从而零延迟地获得管理员权限。 Blockaid 表示,攻击者的辅助合约随后将 Wasabi 的 perp vaults 和 LongPool 升级为恶意实现,从而耗尽了余额。 此次攻击利用了 UUPS 可升级性,这是一种智能合约在保持相同地址的同时替换底层代码的模式。 UUPS 被广泛使用,因为它允许开发人员在不迁移用户的情况下修复漏洞。这也意味着,如果攻击者控制了管理员权限,他们可以用任何想要的代码替换合约逻辑,包括旨在窃取资金的代码。 Blockaid 指出,Wasabi 没有使用 timelock 或 multisig 来保护管理角色。timelock 会强制要求在宣布管理操作和执行操作之间设置延迟,从而给用户留出反应时间。multisig 则需要多个签名者批准更改。Wasabi 两者皆无,导致单一密钥完全控制了协议。 🚨 Blockaid 的漏洞检测系统识别出 @wasabi_protocol 在 Ethereum 和 Base 上正在进行的管理密钥泄露攻击。Wasabi: Deployer EOA 被用于向攻击者辅助合约授予 ADMIN_ROLE,随后该合约将 perp vaults 和 LongPool UUPS 升级为…… — Blockaid (@blockaid_) 2026 年 4 月 30 日 据 Blockaid 称,受影响的合约包括 Wasabi 在 Ethereum 上的 wWETH、sUSDC、wBITCOIN、wPEPE 和 Long Pool 金库,以及在 Base 上的 sUSDC、wWETH、sBTC、sVIRTUAL、sAERO 和 sBRETT 金库。 持有 Wasabi LP 代币的用户被敦促撤销对金库合约的任何有效授权,因为支持这些代币的底层资产要么已被耗尽,要么仍处于风险之中。 此次 Wasabi 攻击与 4 月 1 日发生的 Drift Protocol 漏洞事件极为相似,当时与朝鲜有关的攻击者利用泄露的管理密钥从该基于 Solana 的永续合约交易所窃取了 2.85 亿美元。 在那起事件中,攻击者同样利用了没有治理 timelock 的单密钥管理设置,通过列出虚假代币作为抵押品并提高提款限额,在约 12 分钟内耗尽了真实资产。 三周后的 4 月 19 日,Kelp DAO 损失了 2.92 亿美元,当时攻击者利用了该协议 LayerZero 桥中的单验证器配置,释放了 116,500 个无支撑的 rsETH,随后被用作抵押品从 Aave 借出真实的 ether。 2026 年 DeFi 累计损失总额现已超过 7.7 亿美元,涉及 30 多起报告事件。仅 4 月份就占了该数字的大部分。 本月发生的小型漏洞事件还包括 CoW Swap(120 万美元)、Grinex(1374 万美元)、Resolv Labs
数据状态✓ 已抓取全文阅读原文(CoinDesk)
🔍历史类似事件· 关键词 + 标的比对6 则
2026-04-30
Wasabi Protocol 因疑似 admin key 洩露被盜取 450 萬美元
相似度 430%關鍵字 apparent/drained/million
2026-04-30
Wasabi Protocol 在攻擊者跨 3 條鏈奪取 Deployer Admin Key 後損失 500 萬美元
相似度 230%關鍵字 key/protocol/wasabi
2026-04-30
Wasabi Protocol 500 万美元被盗事件加速了 AI 驱动的 DeFi 黑客理论
相似度 180%關鍵字 protocol/million/wasabi
2026-04-30
Wasabi Protocol 遭駭 290 萬鎂!攻擊者透過部署錢包取得特權角色
相似度 130%關鍵字 protocol/wasabi
2026-04-30
Wasabi Protocol 爆出遭駭 550 萬鎂!攻擊者透過錢包合約取得管理員權限
相似度 130%關鍵字 protocol/wasabi
2026-04-24
Cluster Protocol 筹集 500 万美元以加速开发 CodeXero,这是一款面向 EVM 的浏览器原生 Vibe Coding AI IDE,融资总额达到 775 万美元
相似度 130%關鍵字 protocol/million
💡 目前用关键词 + 标的比对(MVP)· 之后会升级为 embedding 语义搜寻
原始信息
ID:f0550d2705
来源:CoinDesk
发布:2026-04-30 09:37:47
分类:一般 · 导出分类 neutral
标的:未指定
社群投票:+0 /0 · ⭐ 0 重要 · 💬 0 留言