2026年4月30日,去中心化金融协议Wasabi Protocol遭遇重大安全事件,攻击者通过窃取部署者的管理员EOA私钥,在以太坊、Base和Blast三条区块链上共窃取约450万至550万美元的资产。此次事件暴露出中心化管理密钥在可升级代理架构中的致命风险。
攻击细节:两小时内席卷三链
安全公司Hypernative最早检测到异常活动,并向三链发出高严重性警报。Blockaid、Cyvers和DeFi监测平台也同步追踪到攻击。攻击始于UTC时间07:48,持续约两小时。攻击者控制的地址(0x5c629f8c…)曾是Wasabi PerpManager合约的唯一管理员。他们首先向恶意辅助合约授予ADMIN_ROLE,随后对WasabiVault代理和WasabiLongPool执行未授权的UUPS代理升级,直接调用strategyDeposit()函数传入虚假策略,触发drain()函数将全部抵押品转移至攻击者地址。
损失资产一览:WETH最大单笔损失
最大单笔损失为840.9 WETH,价值超过190万美元。其他被洗劫的资产包括sUSDC、sREKT、PEPE、MOG、NEIRO、ZYN、比特币以及Base链上的VIRTUAL、AERO和cbBTC。根据DefiLlama数据,攻击前Wasabi在三链上的总锁仓价值(TVL)约为850万美元,本次攻击几乎耗尽所有流动性。
根本原因:密钥管理失败,非代码漏洞
此次攻击并非智能合约逻辑漏洞,也未涉及重入攻击或价格操纵。攻击者通过钓鱼、恶意软件或直接窃取方式获取了部署者私钥,进而利用可升级代理架构的权限设计完成提款。审计公司Zellic和Sherlock此前为Wasabi进行了安全审计,但中心化管理密钥这一单点故障点完全绕过了审计保护。
连锁反应与行业背景
作为Wasabi的合作伙伴,Virtuals Protocol在检测到攻击后迅速冻结所有保证金存款,并确认自身系统未受影响,交易、提现和代理操作继续正常运行。Virtuals警告用户避免签署任何与Wasabi相关的交易。
此次事件并非孤立。2026年4月已成为DeFi历史上最惨重的月份之一:超过6亿美元从约十几个协议中被盗。月初Drift Protocol因治理操纵和预言机滥用损失2.85亿美元;4月18日KelpDAO因LayerZero桥漏洞损失约2.92亿美元,并引发Aave等平台超100亿美元的下游传染。其他小型事件包括Silo Finance、Cow Swap、Grinex等。
用户应采取的行动
截至发稿,Wasabi Protocol未发布官方声明。安全专家建议所有用户立即在以太坊、Base和Blast上撤销所有对Wasabi的授权(可使用Revoke.cash、Etherscan等工具),撤回剩余的LP仓位,并在协议确认密钥轮换和合约完整性之前不要签署任何相关交易。
此次攻击再次为行业敲响警钟:可升级代理合约与中心化管理密钥的组合创造了超越代码审计的单点故障。当一把钥匙控制多条链的升级权限时,一次私钥泄露即可导致全协议崩盘。

