2026年4月30日,去中心化金融(DeFi)协议Wasabi Protocol遭遇严重安全事件,其部署者管理员私钥被攻击者窃取,导致以太坊、Base和Blast三条链上的永续合约资金库和流动性池被洗劫一空,损失金额估计在450万至550万美元之间。
攻击手法:私钥泄露而非代码漏洞
攻击始于UTC时间当天07:48左右,持续约两小时。被攻陷的地址为0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8,这是控制Wasabi Perpmanager合约的唯一管理员密钥。攻击者首先使用该密钥将ADMIN_ROLE授权给一个恶意的辅助合约,随后在WasabiVault代理合约和Wasabilongpool上执行了未经授权的UUPS代理升级,最终将抵押品和资金池余额全部转出。
安全机构Hypernative在三链上同时检测到高严重性警报,Blockaid、Cyvers和Defimonalerts也实时发现了异常活动。Hypernative表示虽非Wasabi客户,但独立检测到了攻击行为,并承诺发布完整的技术分析报告。
受影响资产:WETH、MEME代币及跨链资产
单笔最大损失为840.9 WETH,价值超过190万美元。其他被提取的资产包括sUSDC、sREKT、PEPE、MOG、NEIRO、ZYN以及比特币;在Base链上还包括VIRTUAL、AERO和cbBTC等资产。根据DefiLlama数据,攻击前Wasabi在三条链上的总锁仓价值(TVL)约为850万美元。
此次事件属于典型的管理密钥失败,而非智能合约代码漏洞。没有重入攻击或逻辑漏洞的利用。攻击者很可能通过钓鱼、恶意软件或直接窃取获得了私钥,然后滥用可升级代理架构提取资金,绕过了常规安全检查。
行业影响:4月DeFi损失已超6亿美元
虚拟资产协议Virtuals Protocol(通过Wasabi提供保证金存款)在检测到攻击后迅速响应,冻结了所有保证金存款,并确认自身安全系统完好无损。Virtuals上的交易、提现和Agent操作未受影响,但团队警告用户不要签署任何与Wasabi相关的交易。
Wasabi Protocol截至最新消息尚未发布公开声明或事件分析报告。该协议此前曾快速沟通无关事件,并持有Zellic和Sherlock的审计报告,但此次攻击完全绕过了这些保护措施。
此次攻击并非孤立事件。2026年4月,DeFi领域已发生超过10起确认的安全事件,总损失超过6亿美元,成为行业有史以来最恶劣的月份之一。4月1日,Solana上的Drift Protocol遭治理操纵和预言机滥用攻击,约2.85亿美元在20分钟内被提取;约4月18日,Layerzero跨链桥漏洞导致KelpDAO损失约2.92亿美元的rsETH,并引发Aave等借贷平台超100亿美元的后续传染。Silo Finance、Cow Swap、Grinex、Rhea Finance和Aftermath Finance等协议也遭遇不同规模的攻击。
几乎每起事件的共同模式都偏离代码级漏洞,转向管理员密钥泄露、桥接漏洞和可升级代理风险——这些集中控制点无法仅靠审计抵御。
用户应采取的行动
有Wasabi暴露风险的用户应立即撤销在以太坊、Base和Blast上的所有授权。可使用Revoke.cash、Etherscan和Basescan等工具识别当前有效授权。任何剩余的LP头寸都应尽快撤出,在协议确认密钥轮换和合约完整性之前,不要签署任何与Wasabi相关的交易。建议关注官方@wasabi_protocol账户及安全机构信息更新。

