DeFi 衍生品協議 Wasabi Protocol 在 4 月 30 日下午遭遇管理员私钥泄露攻击。根据链上安全公司 Blockaid 与 CertiK Alert 监测,攻击者通过 Wasabi 的 Deployer EOA 把 ADMIN_ROLE 授权给自己的 helper 合约后,再通过 UUPS 可升级代理机制,将 perp vaults 与 LongPool 升级为恶意实现版本、直接抽走合约托管的代币余额。CertiK 初估损失约 2.9M美元,攻击范围横跨以太坊主网与 Base 双链。Wasabi 官方已于台灣時間下午 6:33 公告暂停合约互动。
攻击路径:部署者私钥失守 → ADMIN_ROLE 授权 → UUPS 升级为恶意合约
4/30 台灣时间下午 4:30 左右,Blockaid 在 X 上披露 Wasabi Protocol 出现“进行中的管理员私钥入侵攻击”(ongoing admin-key compromise exploit)。完整攻击链条由三步组成:先是 Wasabi 的部署者钱包(Deployer EOA)遭駭,攻击者取得该钱包私钥;接着攻击者用此钱包执行 grantRole 操作,把 ADMIN_ROLE 授权给自己控制的 helper 合约;最后 helper 合约利用 UUPS 升级机制,把 perp vaults(永续合约金库)与 LongPool(多头资金池)两个核心合约的实现(implementation)替换为恶意版本,后者直接抽走合约托管的代币余额。
UUPS(Universal Upgradeable Proxy Standard)是 OpenZeppelin 推广的可升级智能合约模式,升级逻辑放在“实现合约”而非代理层。优点是 gas 成本较低、合约结构较精简;代价是“能执行升级的角色”一旦被攻陷,攻击者可在不通过治理流程或时间锁的情况下,直接把整个合约替换为任意逻辑。这次事件正是 UUPS 模式遭管理员私钥泄露滥用的典型例子。
CertiK 估损 2.9M美元,影响以太坊与 Base 双链
CertiK Alert 在 4/30 下午 4:30 同步确认事件:“攻击者被 Wasabi 部署者钱包授予具特权的 Role,显示该钱包遭到入侵。”CertiK 引用链上资料估算损失约 2.9M美元。攻击发生在以太坊主网与 Base 两条链,受影响的核心合约是 perp vaults 与 LongPool 两条产品线——前者用于永续合约仓位的抵押品托管,后者承载多头资金池。
事件规模相比于 4 月初 Drift Protocol 在 Solana 遭駭的 285M美元小得多,但攻击类型本质相似——同样是管理员私钥泄露搭配高权限角色滥用。对 DeFi 生态而言,这类“私钥类”攻击重复出现意味着:智能合约代码本身的正确性,无法保护那些可在代码之外绕过机制的特权账户。
Wasabi 暂停合约互动、Virtuals Protocol 冻结保证金存款
Wasabi Protocol 官方于 4/30 下午 6:33 在 X 发出公告:“我们已注意到问题并正在积极调查。作为预防措施,请勿与 Wasabi 合约互动,直到后续通知。”官方在公告中并未直接确认 Blockaid 与 CertiK 描述的攻击细节,仅表示有更多信息将补充说明。
下游受影响项目中最值得注意的是 Virtuals Protocol——过去一年热门的 AI Agent 协议生态,部分产品功能仰赖 Wasabi 提供的保证金存款服务。Virtuals 于 4/30 下午 5:07 在 X 表态,自身安全完整无事,已立即冻结由 Wasabi 支持的保证金存款功能;其余交易、提领、agent 操作均维持正常运作,并提醒用户在事件解决前不要签署任何 Wasabi 相关交易。
对 DeFi 投资人而言,这类事件的提醒一致:当协议之间相互组合、使用上游服务的杠杆或衍生品功能时,上游基础设施的私钥安全会变成所有下游用户共同承担的风险,与自己直接互动的协议是否安全无关。
这篇文章 Wasabi 遭駭 2.9M美元:管理员私钥泄露、合约被改成恶意版本 最早出现在 鏈新闻 ABMedia。
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Актёры из Северной Кореи извлекали $577M в крипто-взломах до апреля 2026 года, на их долю приходится 76% глобальных потерь
Согласно TRM Labs, северокорейские акторы извлекли примерно $577 миллионов в первые четыре месяца 2026 года, что составляет 76% всех глобальных потерь от взломов криптовалют в этот период. Похищение связано с двумя апрельскими инцидентами: эксплойтом KelpDAO на $292 миллиона и кражей Drift на $285 миллионов
GateNews3м назад
Северная Корея обеспечила 76% хакерских потерь в криптосфере за первые четыре месяца 2026 года, $577M украдено: TRM Labs
По данным TRM Labs, северокорейские акторы извлекли примерно 577 миллионов долларов в течение первых четырех месяцев 2026 года, что составляет 76% всех глобальных хакерских потерь в сфере криптовалют за этот период. Потери связаны с двумя апрельскими инцидентами: взломом KelpDAO на 292 миллиона долларов и атакой Drift Pr
GateNews8м назад
Kelp планирует полное обновление кросс-чейн моста через две недели, ether.fi также синхронно усиливает безопасность WeETH
18 апреля после взлома межсетевого моста rsETH прошло две недели: 29/4 Kelp завершил обновление — валидаторы обновлены 4/4, подтверждение блоков — 64, топология — hub-and-spoke, а кроссчейн-сообщения должны проходить через мейннет Ethereum в качестве транзита. ether.fi также одновременно усилила weETH и добавила в DeFi United донат 5 000 ETH. DeFi United мобилизовал свыше 70 000 ETH спасательных средств; ставки по рынкам вроде Aave заметно снизились, но злоумышленники всё ещё держат около 107 000 rsETH, ожидающих клиринг — для возврата нужны механизмы управления и процессы в стиле комитетов.
ChainNewsAbmedia32м назад
WasabiCard разъясняет отсутствие связи с Wasabi Protocol и Wasabi Wallet 30 апреля
По данным BlockBeats, WasabiCard выпустила заявление о безопасности 30 апреля, уточнив, что не имеет отношения к Wasabi Protocol, Wasabi Wallet или связанным проектам и организациям. Платформа сотрудничает с Safeheron по кастодиальным кошелькам и взаимодействует с аудитором безопасности
GateNews3ч назад
Под руководством ФБР международная целевая группа арестовала 276 человек по крипто-мошенничествам «свиного откорма», нарушив работу 9 центров
Согласно Департаменту юстиции США, глобальная целевая группа под руководством ФБР арестовала 276 подозреваемых и в среду пресекла работу девяти центров по криптовалютным мошенничествам. Полиция Дубая арестовала 275 человек; троих в Калифорнии обвинили по пунктам о мошенничестве с использованием проводной связи и отмывании денег. Тайские власти арестовали одного подозр
GateNews4ч назад
