DeFi 衍生品协议Wasabi Protocol 在4 月30 日下午遭遇管理员私钥外泄攻击。根据链上资安公司Blockaid、CertiK Alert 与PeckShield 监测,攻击者透过Wasabi 的Deployer EOA 把ADMIN_ROLE 授权给自己的helper 合约后,再透过UUPS 可升级代理机制,将perp vaults 与LongPool 升级为恶意实作版本、直接抽走合约托管的代币余额。 PeckShield 于台湾时间19:10 更新估损约550 万美元,攻击范围横跨以太坊主网、Base、BLAST 与Berachain 四条链,所有部署皆受影响。Wasabi 官方已于台湾时间下午6:33 公告暂停合约互动。
攻击路径:部署者私钥失守→ ADMIN_ROLE 授权→ UUPS 升级为恶意合约
4/30 台湾时间下午4:30 左右,Blockaid 在X 上揭露Wasabi Protocol 出现「进行中的管理员私钥入侵攻击」(ongoing admin-key compromise exploit)。完整攻击链条由三步组成:先是Wasabi 的部署者钱包(Deployer EOA)遭黑,攻击者取得该钱包私钥;接着攻击者用此钱包执行grantRole 操作,把ADMIN_ROLE 授权给自己控制的helper 合约;最后helper 合约利用UUPS 升级机制,把perp vaults(永续合约金库)与LongPool(多头资金池)两个核心合约的实作(implementation)替换为恶意版本,后者直接抽走合约托管的代币余额。
UUPS(Universal Upgradeable Proxy Standard)是OpenZeppelin 推广的可升级智能合约模式,升级逻辑放在「实作合约」而非代理层。优点是gas 成本较低、合约结构较精简;代价是「能执行升级的角色」一旦被攻陷,攻击者可在不通过治理流程或时间锁的情况下,直接把整个合约替换为任意逻辑。这次事件正是UUPS 模式遭管理员私钥外泄滥用的典型范例。
估损550 万美元,影响以太坊、Base、BLAST 与Berachain 四链
事件初期,CertiK Alert 在4/30 下午4:30 确认攻击:「攻击者被Wasabi 部署者钱包授予具特权的Role,显示该钱包遭到入侵。」当时CertiK 估算被抽走金额约290 万美元。资安公司PeckShield 随后于19:10 进一步揭露—影响范围不只前期Blockaid 描述的以太坊与Base 双链,还涵盖BLAST 与Berachain,全网损失上修为约550 万美元。受影响核心合约为perp vaults 与LongPool 两条产品线(前者用于永续合约仓位的担保品托管,后者承载多头资金池)。
事件规模相比于4 月初Drift Protocol 在Solana 遭黑的2.85 亿美元小得多,但攻击类型本质相似—同样是管理员私钥外泄搭配高权限角色滥用。对DeFi 生态而言,这类「私钥类」攻击重复出现意味着:智能合约程式码本身的正确性,无法保护那些可在程式码之外绕过机制的特权帐户。
Wasabi 暂停合约、Virtuals 冻结保证金、Berachain 暂停奖励金库
Wasabi Protocol 官方于4/30 下午6:33 在X 发出公告:「我们已注意到问题并正在积极调查。作为预防措施,请勿与Wasabi 合约互动,直到后续通知。」官方在公告中并未直接确认Blockaid、CertiK 与PeckShield 描述的攻击细节,仅表示有更多资讯将补充说明。
Berachain Foundation 于下午6:28 在X 发出更明确的警告,证实「Wasabi 在所有部署链包含Berachain 都已遭黑」,并估算Berachain 链上用户在Wasabi 的资金风险约5 万美元。 Foundation 同步暂停Berachain 上的Wasabi 奖励金库(reward vaults),并要求用户立刻提领在Wasabi 内的资金、撤销对Wasabi 合约的授权。
下游受影响专案中最值得注意的是Virtuals Protocol—过去一年热门的AI Agent 协议生态,部分产品功能仰赖Wasabi 提供的保证金存款服务。 Virtuals 于4/30 下午5:07 表态,自身安全完整无事,已即刻冻结由Wasabi 支援的保证金存款功能;其余交易、提领、agent 操作均维持正常运作,并提醒用户在事件解决前不要签署任何Wasabi 相关交易。
对DeFi 投资人而言,这类事件的提醒一致:当协议之间互相组合、使用上游服务的杠杆或衍生品功能时,上游基础设施的私钥安全会变成所有下游用户共同承担的风险,与自己直接互动的协议是否安全无关。
本文链接地址:https://www.wwsww.cn/DeFi/38546.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
