管理密钥失守!Wasabi Protocol三链遭攻击损失500万美元

管理密钥失守!Wasabi Protocol三链遭攻击损失500万美元

N
News Editor 01
2026-07-08 14:20:16
2026年4月30日,Wasabi Protocol因部署者管理员密钥泄露,在以太坊、Base和Blast三条链上遭攻击,损失约450万至550万美元。攻击者利用代理升级漏洞提取资金,目前协议尚未发布声明。
DeFi安全私钥泄露代理升级漏洞加密货币黑客Wasabi Protocol

2026年4月30日,去中心化金融(DeFi)协议Wasabi Protocol遭遇严重安全事件,其部署者管理员私钥被攻击者窃取,导致以太坊、Base和Blast三条链上的永续合约资金库和流动性池被洗劫一空,损失金额估计在450万至550万美元之间。

攻击手法:私钥泄露而非代码漏洞

攻击始于UTC时间当天07:48左右,持续约两小时。被攻陷的地址为0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8,这是控制Wasabi Perpmanager合约的唯一管理员密钥。攻击者首先使用该密钥将ADMIN_ROLE授权给一个恶意的辅助合约,随后在WasabiVault代理合约和Wasabilongpool上执行了未经授权的UUPS代理升级,最终将抵押品和资金池余额全部转出。

安全机构Hypernative在三链上同时检测到高严重性警报,Blockaid、Cyvers和Defimonalerts也实时发现了异常活动。Hypernative表示虽非Wasabi客户,但独立检测到了攻击行为,并承诺发布完整的技术分析报告。

受影响资产:WETH、MEME代币及跨链资产

单笔最大损失为840.9 WETH,价值超过190万美元。其他被提取的资产包括sUSDC、sREKT、PEPE、MOG、NEIRO、ZYN以及比特币;在Base链上还包括VIRTUAL、AERO和cbBTC等资产。根据DefiLlama数据,攻击前Wasabi在三条链上的总锁仓价值(TVL)约为850万美元。

此次事件属于典型的管理密钥失败,而非智能合约代码漏洞。没有重入攻击或逻辑漏洞的利用。攻击者很可能通过钓鱼、恶意软件或直接窃取获得了私钥,然后滥用可升级代理架构提取资金,绕过了常规安全检查。

行业影响:4月DeFi损失已超6亿美元

虚拟资产协议Virtuals Protocol(通过Wasabi提供保证金存款)在检测到攻击后迅速响应,冻结了所有保证金存款,并确认自身安全系统完好无损。Virtuals上的交易、提现和Agent操作未受影响,但团队警告用户不要签署任何与Wasabi相关的交易。

Wasabi Protocol截至最新消息尚未发布公开声明或事件分析报告。该协议此前曾快速沟通无关事件,并持有Zellic和Sherlock的审计报告,但此次攻击完全绕过了这些保护措施。

此次攻击并非孤立事件。2026年4月,DeFi领域已发生超过10起确认的安全事件,总损失超过6亿美元,成为行业有史以来最恶劣的月份之一。4月1日,Solana上的Drift Protocol遭治理操纵和预言机滥用攻击,约2.85亿美元在20分钟内被提取;约4月18日,Layerzero跨链桥漏洞导致KelpDAO损失约2.92亿美元的rsETH,并引发Aave等借贷平台超100亿美元的后续传染。Silo Finance、Cow Swap、Grinex、Rhea Finance和Aftermath Finance等协议也遭遇不同规模的攻击。

几乎每起事件的共同模式都偏离代码级漏洞,转向管理员密钥泄露、桥接漏洞和可升级代理风险——这些集中控制点无法仅靠审计抵御。

用户应采取的行动

有Wasabi暴露风险的用户应立即撤销在以太坊、Base和Blast上的所有授权。可使用Revoke.cash、Etherscan和Basescan等工具识别当前有效授权。任何剩余的LP头寸都应尽快撤出,在协议确认密钥轮换和合约完整性之前,不要签署任何与Wasabi相关的交易。建议关注官方@wasabi_protocol账户及安全机构信息更新。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
200

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。