Wasabi协议管理员密钥泄露致三链损失500万美元

Wasabi协议管理员密钥泄露致三链损失500万美元

N
News Editor 01
2026-07-08 14:20:16
2026年4月30日,Wasabi协议因部署者EOA管理员私钥泄露,在以太坊、Base、Blast三条链上损失约450-550万美元。攻击者利用升级代理合约提取资金,用户应立即撤销授权。
Wasabi协议DeFi安全私钥泄露跨链攻击2026年4月黑客事件

2026年4月30日,去中心化金融协议Wasabi Protocol遭遇严重安全事件,攻击者通过获取其部署者EOA管理员私钥,在以太坊、Base和Blast三条链上盗走约450万至550万美元资产。这是2026年4月一系列DeFi攻击中最新的一起,该月已累计损失超过6亿美元。

攻击细节与关键时间线

被攻陷的地址为0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8,该地址是控制Wasabi Perpmanager合约的唯一管理员密钥。攻击始于北京时间07:48 UTC左右,持续约两小时。攻击者首先向恶意助手合约授予ADMIN_ROLE权限,随后对Wasabivault代理合约和Wasabilongpool执行未经授权的UUPS代理升级,最终清空了抵押品和资金池余额。

安全公司Hypernative率先检测到此次攻击,并在三条链上发布了高严重性警报。Blockaid、Cyvers和Defimonalerts也实时发现了异常活动。Hypernative确认其并非Wasabi客户,但独立检测到了本次入侵,并承诺提供完整的技术分析。

损失资产构成

最大单笔损失为840.9 WETH(约合190万美元)。其他被盗资产包括sUSDC、sREKT、PEPE、MOG、NEIRO、ZYN、bitcoin,以及Base链上的VIRTUAL、AERO、cbBTC等。根据Defillama数据,攻击发生前Wasabi在各链的总锁仓价值(TVL)约为850万美元。

攻击原因:密钥管理失败而非代码漏洞

本次事件是典型的密钥管理失败案例,并非智能合约漏洞。攻击中没有利用重入攻击或逻辑缺陷。攻击者很可能通过钓鱼、恶意软件或直接盗窃获得了私钥,然后滥用可升级的代理架构提取资金,绕过了常规安全检查。Wasabi协议此前曾接受Zellic和Sherlock的安全审计,但这类中心化密钥风险无法通过审计消除。

关联项目与应对措施

通过Wasabi提供保证金存款的Virtuals Protocol在事件发生后迅速反应,冻结了所有保证金存款,并确认自身安全未受影响。Virtuals的交易、提现和代理操作继续正常运行。该团队警告用户避免签署任何与Wasabi相关的交易。

截至最新数据,Wasabi Protocol尚未发布任何公开声明或事后报告。此前其曾对无关事件有过快速沟通。

用户紧急行动建议

所有在以太坊、Base和Blast上与Wasabi有交互的用户应立即撤销相关授权。可使用Revoke.cash、Etherscan或Basescan等工具检查并撤销活跃授权。任何剩余的流动性仓位应尽快撤出。在团队确认密钥轮换和合约完整性之前,切勿签署任何涉及Wasabi的交易。

2026年4月DeFi攻击潮背景

Wasabi攻击并非孤立事件。2026年4月已发生约十起确认的DeFi攻击,总损失超过6亿美元,成为该领域历史上损失最惨重的月份之一。4月1日,Solana上的Drift Protocol在20分钟内被窃约2.85亿美元(利用治理操纵和预言机滥用)。约4月18日,Layerzero桥攻击导致KelpDAO在以太坊上损失约2.92亿美元的rsETH,并引发Aave等借贷平台超100亿美元的连锁反应。此外,Silo Finance、Cow Swap、Grinex、Rhea Finance和Aftermath Finance等也遭受了规模较小的攻击。

这些事件呈现出共同模式:攻击多指向管理员密钥泄露、桥接漏洞和可升级代理合约风险,而非底层代码逻辑错误。中心化的控制点成为审计无法覆盖的最大软肋。

Wasabi事件仍在发展中,用户应关注官方@wasabi_protocol账号和安全公司动态获取最新信息。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。