DeFi 衍生品協议 Wasabi Protocol 在 4 月 30 日下午遭遇管理員私鑰外洩攻擊。根據链上资安公司 Blockaid 与 CertiK Alert 監測,攻擊者透过 Wasabi 的 Deployer EOA 把 ADMIN_ROLE 授權給自己的 helper 合约后,再透过 UUPS 可升級代理机制,將 perp vaults 与 LongPool 升級为惡意实作版本、直接抽走合约託管的代币餘額。CertiK 初估損失约 290 万美元,攻擊範圍橫跨以太坊主網与 Base 雙链。Wasabi 官方已於台灣时间下午 6:33 公告暫停合约互动。
攻擊路徑:部署者私鑰失守 → ADMIN_ROLE 授權 → UUPS 升級为惡意合约
4/30 台灣时间下午 4:30 左右,Blockaid 在 X 上揭露 Wasabi Protocol 出现「进行中的管理員私鑰入侵攻擊」(ongoing admin-key compromise exploit)。完整攻擊链條由三步組成:先是 Wasabi 的部署者钱包(Deployer EOA)遭駭,攻擊者取得該钱包私鑰;接著攻擊者用此钱包執行 grantRole 操作,把 ADMIN_ROLE 授權給自己控制的 helper 合约;最后 helper 合约利用 UUPS 升級机制,把 perp vaults(永续合约金庫)与 LongPool(多头资金池)两个核心合约的实作(implementation)替換为惡意版本,后者直接抽走合约託管的代币餘額。
UUPS(Universal Upgradeable Proxy Standard)是 OpenZeppelin 推廣的可升級智能合约模式,升級逻辑放在「实作合约」而非代理層。優点是 gas 成本较低、合约結構较精簡;代价是「能執行升級的角色」一旦被攻陷,攻擊者可在不通过治理流程或时间锁的情況下,直接把整个合约替換为任意逻辑。这次事件正是 UUPS 模式遭管理員私鑰外洩濫用的典型範例。
CertiK 估損 290 万美元,影響以太坊与 Base 雙链
CertiK Alert 在 4/30 下午 4:30 同步確认事件:「攻擊者被 Wasabi 部署者钱包授予具特權的 Role,顯示該钱包遭到入侵。」CertiK 引用链上资料估算損失约 290 万美元。攻擊发生在以太坊主網与 Base 两條链,受影響的核心合约是 perp vaults 与 LongPool 两條产品線—前者用於永续合约倉位的擔保品託管,后者承載多头资金池。
事件規模相比於 4 月初 Drift Protocol 在 Solana 遭駭的 2.85 亿美元小得多,但攻擊類型本质相似—同樣是管理員私鑰外洩搭配高權限角色濫用。对 DeFi 生態而言,这類「私鑰類」攻擊重複出现意味著:智能合约程式碼本身的正確性,无法保護那些可在程式碼之外繞过机制的特權帳戶。
Wasabi 暫停合约互动、Virtuals Protocol 凍結保证金存款
Wasabi Protocol 官方於 4/30 下午 6:33 在 X 发出公告:「我們已注意到问題並正在積極调查。作为预防措施,请勿与 Wasabi 合约互动,直到后续通知。」官方在公告中並未直接確认 Blockaid 与 CertiK 描述的攻擊細節,僅表示有更多资訊將補充说明。
下游受影響專案中最值得注意的是 Virtuals Protocol—过去一年熱门的 AI Agent 協议生態,部分产品功能仰賴 Wasabi 提供的保证金存款服務。Virtuals 於 4/30 下午 5:07 在 X 表態,自身安全完整无事,已即刻凍結由 Wasabi 支援的保证金存款功能;其餘交易、提领、agent 操作均維持正常运作,並提醒用戶在事件解決前不要簽署任何 Wasabi 相关交易。
对 DeFi 投资人而言,这類事件的提醒一致:当協议之间互相組合、使用上游服務的槓桿或衍生品功能时,上游基礎设施的私鑰安全会變成所有下游用戶共同承擔的风险,与自己直接互动的協议是否安全无关。
这篇文章 Wasabi 遭駭 290 万美元:管理員私鑰外洩、合约被改成惡意版本 最早出现於 链新聞 ABMedia。
相关快讯
DeFi 还去中心化吗?Andre Cronje:承认吧,大多数协议都是可篡改的代码
朝鲜黑客自 2017 年以来盗走了 $6B 加密货币,2026 年损失的 76%
Aftermath Finance 遭攻击损失 114 万,Mysten Labs 支持全额补偿用户
SWEAT 协议被盗 137.1 亿代币,暂停合约后用户资金完全恢复
a16z 加密货币研究报告:AI 代理 DeFi 漏洞利用率达 70%
