DeFi 衍生品协议 Wasabi Protocol 于 4 月 30 日下午遭遇管理员私钥泄露攻击。根据链上安全公司 Blockaid 与 CertiK Alert 的监测,攻击者通过 Wasabi 的 Deployer EOA 把 ADMIN_ROLE 授权给自己的 helper 合约后,再通过 UUPS 可升级代理机制,将 perp vaults 与 LongPool 升级为恶意实现版本、直接抽走合约托管的代币余额。CertiK 初估损失约 290 万美元,攻击范围横跨以太坊主网与 Base 双链。Wasabi 官方已于台湾时间下午 6:33 公告暂停合约互动。
攻击路径:部署者私钥失守 → ADMIN_ROLE 授权 → UUPS 升级为恶意合约
4/30 台湾时间下午 4:30 左右,Blockaid 在 X 上披露 Wasabi Protocol 出现“进行中的管理员私钥入侵攻击”(ongoing admin-key compromise exploit)。完整攻击链条由三步组成:先是 Wasabi 的部署者钱包(Deployer EOA)遭駭,攻击者取得该钱包私钥;接着攻击者用此钱包执行 grantRole 操作,把 ADMIN_ROLE 授权给自己控制的 helper 合约;最后 helper 合约利用 UUPS 升级机制,把 perp vaults(永续合约金库)与 LongPool(多头资金池)两个核心合约的实现(implementation)替换为恶意版本,后者直接抽走合约托管的代币余额。
UUPS(Universal Upgradeable Proxy Standard)是 OpenZeppelin 推广的可升级智能合约模式,升级逻辑放在“实现合约”而非代理层。优点是 gas 成本较低、合约结构较简洁;代价是“能执行升级的角色”一旦被攻陷,攻击者可在不通过治理流程或时间锁的情况下,直接把整个合约替换为任意逻辑。这次事件正是 UUPS 模式遭管理员私钥泄露滥用的典型例子。
CertiK 估损 290 万美元,影响以太坊与 Base 双链
CertiK Alert 在 4/30 下午 4:30 同步确认事件:“攻击者被 Wasabi 部署者钱包授予具特权的 Role,显示该钱包遭到入侵。”CertiK 引用链上资料估算损失约 290 万美元。攻击发生在以太坊主网与 Base 两条链,受影响的核心合约是 perp vaults 与 LongPool 两条产品线——前者用于永续合约仓位的担保品托管,后者承载多头资金池。
事件规模相比于 4 月初 Drift Protocol 在 Solana 遭駭的 2.85 亿美元小得多,但攻击类型本质相似——同样是管理员私钥泄露搭配高权限角色滥用。对 DeFi 生态而言,这类“私钥类”攻击反复出现意味着:智能合约程序代码本身的正确性,无法保护那些可在代码之外绕过机制的特权账户。
Wasabi 暂停合约互动、Virtuals Protocol 冻结保证金存款
Wasabi Protocol 官方于 4/30 下午 6:33 在 X 发出公告:“我们已注意到问题并正在积极调查。作为预防措施,请勿与 Wasabi 合约互动,直到后续通知。”官方在公告中并未直接确认 Blockaid 与 CertiK 描述的攻击细节,仅表示有更多信息将补充说明。
下游受影响项目中最值得注意的是 Virtuals Protocol——过去一年热门的 AI Agent 协议生态,部分产品功能仰赖 Wasabi 提供的保证金存款服务。Virtuals 于 4/30 下午 5:07 在 X 表态,自身安全完整无事,已即刻冻结由 Wasabi 支援的保证金存款功能;其余交易、提领、agent 操作均维持正常运作,并提醒用户在事件解决前不要签署任何 Wasabi 相关交易。
对 DeFi 投资人而言,这类事件的提醒一致:当协议之间互相组合、使用上游服务的杠杆或衍生品功能时,上游基础设施的私钥安全会变成所有下游用户共同承担的风险,与自己直接互动的协议是否安全无关。
这篇文章 Wasabi 遭駭 290 万美元:管理员私钥泄露、合约被改成恶意版本 最早出现在 鏈新闻 ABMedia。
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La seguridad de los activos digitales va más allá de las claves cuando Bitgo añade controles de 5 capas
Bitgo está impulsando la seguridad de activos digitales más allá de las claves privadas con un modelo de transacciones de cinco capas diseñado para detener la manipulación antes de la ejecución. El sistema verifica la intención, el dispositivo, la identidad, el comportamiento y la política, apuntando a los riesgos antes de que las transacciones se finalicen.
Aspectos clave:
Bitgo introdujo cinco
CoinpediaHace51m
La plataforma DeFi de Carrot cierra como la primera víctima del exploit del protocolo $285M Drift
Según el anuncio de Carrot del 30 de abril, el protocolo DeFi de rendimiento basado en Solana está cerrando de forma permanente, convirtiéndose en la primera plataforma en cerrar como resultado directo del exploit del Drift Protocol por 285 millones de dólares a principios de abril. El equipo de Carrot indicó en una publicación en X que el hack de Drift fue
GateNewshace1h
Los hacks de criptomonedas alcanzan un máximo histórico en abril con más de 20 exploits y más de 600 millones de dólares en pérdidas
Según DeFi Llama, el número de hackeos de DeFi alcanzó un máximo histórico en abril, con más de 20 exploits que marcaron el mes más hackeado en la historia de las criptomonedas por número de incidentes. Las pérdidas totales superaron los 600 millones de dólares, con el exploit de 292 millones de dólares de KelpDAO y el hack de 280 millones de dólares del protocolo Drift Protocol ubicándose como los …
GateNewshace6h
Espías norcoreanos apuntaron a Drift en la operación de robo de $285M Theft
## Operación de robo por deriva
Espías respaldados por el Estado norcoreano llevaron a cabo una operación presencial dirigida a la plataforma de criptomonedas Drift para drenar 285 millones de dólares, según los informes. La operación incluyó meses de participación directa con el objetivo.
## Amenaza cibernética norcoreana más amplia
Según un se
CryptoFrontierhace9h
Purrlend sufre una brecha de seguridad de 1,52 millones de dólares el 25 de abril en HyperEVM y MegaETH
Según el informe oficial de incidente de Purrlend, el 25 de abril, el protocolo sufrió una brecha de seguridad que provocó aproximadamente 1,52 millones de dólares en pérdidas en las implementaciones de HyperEVM y MegaETH. Los atacantes comprometieron una wallet multisig 2/3 y se otorgaron privilegios de administrador, incluyendo
GateNewshace9h
Polymarket Contrata a Chainalysis para Perseguir el Uso de Información Privilegiada Mientras Busca una Valoración de 15 mil millones de dólares y la Aprobación de la CFTC
Según The Block, Polymarket contrató a Chainalysis el jueves para ayudar a la policía a investigar el uso de información privilegiada y la manipulación del mercado, mientras el mercado de predicciones busca recaudar 400 millones de dólares con una valoración de 15 mil millones de dólares y obtener la aprobación de la Commodity Futures Trading Commission para relanzarse en el mercado estadounidense.
GateNewshace10h
