Banner
NEWS

Wasabi协议因管理员密钥漏洞损失超过500万美元

Wasabi协议因管理员密钥漏洞损失超过500万美元
CoinPlurk News
CoinPlurk News
经验证的来源
Apr 30, 2026
0
摘要
标题: Wasabi协议因管理员密钥漏洞损失超过500万美元
类别: NEWS
作者: CoinPlurk News
出版日期: 30 Apr 2026
摘要: 超过 500 万美元的管理密钥泄露事件导致 Wasabi Protocol 在四条链上的永久金库资金耗尽,分析师称这是 DeFi 有史以来最糟糕的一个月。
详情

事件始末

据区块链安全公司 PeckShield 报告,链上永续合约协议 Wasabi 于 2026 年 4 月 30 日遭到黑客攻击,攻击者在 Ethereum、Base、Berachain 和 Blast 链上共计窃取了超过 500 万美元的资金。

攻击者通过协议的部署者钱包(识别为 wasabideployer.eth,该地址是 Wasabi 的 PerpManager AccessManager 中唯一持有该角色的地址)获取了 ADMIN_ROLE 权限,随后将金库(Vaults)升级为恶意实现版本,从而抽干了用户的余额。初步统计约有 455 万美元被提取,调查目前仍在进行中。

Wasabi 在 X 上确认了这一事件,并敦促用户在调查期间停止使用该协议,同时确认已聘请了专业的链上安全响应团队,包括 SEAL 911 和 Blockaid。

攻击是如何执行的

本次攻击是通过一种称为 UUPS 升级漏洞(UUPS upgrade exploit)的机制实施的。在获取部署者账户控制权后,攻击者发起了一次合约升级,将安全代码替换为恶意逻辑,从而将资金从金库和流动性池重定向到自己的地址。由于该协议缺乏时间锁(Timelock)机制,这些更改被立即执行——导致开发人员或用户完全没有介入的机会。

本次漏洞的关键技术细节包括:

  • 攻击者在部署者 EOA 上调用了 grantRole 且没有延迟,瞬间将其编排器合约(Orchestrator Contract)转换为管理员。
  • 受影响金库的 Wasabi 和 Spicy LP-share 代币已被标记为被盗状态,其赎回价值已趋于零。
  • Blockaid 指出,相同的攻击者地址、编排器合约和策略字节码(Strategy Bytecode)将此次事件与之前针对 Wasabi 的活动联系在了一起。
  • 协议缺乏多重签名授权或时间延迟等安全防御措施,无法阻止恶意操作的即时执行。

2026 年 4 月:DeFi 有史以来最糟糕的一个月

Wasabi 漏洞并非孤立事件。这次黑客攻击为一个对 DeFi 来说极其残酷的月份画上了句号,该月发生了两次重大漏洞攻击和二十多次小型事件。Monad 的前 DeFi 负责人在 X 上指出,2026 年 4 月在 30 天内共发生了 28 起事件,导致约 6.35 亿美元的损失。

本月最大的两起事件分别是:

  • Drift Protocol —— 4 月 1 日,这个基于 Solana 的永续合约交易所遭受了约 2.7 亿美元的资金流出,涉及超过 15 种不同的代币类型。据报道,这是一场策划了六个月、与北朝鲜国家相关的行动。
  • Kelp DAO —— 4 月 18 日,一名疑似受北朝鲜国家支持的攻击者利用 LayerZero 桥接漏洞,伪造了跨链消息,在源链未锁定任何资产的情况下铸造了 116,500 枚 rsETH。攻击者随后将这些无抵押的 rsETH 存入 Aave 作为抵押品,借出了约 2.36 亿美元的真实 WETH。

针对 Kelp 事件的回应包括 DeFi 协议和个人之间前所未有的集体协作,被称为“DeFi United”,该行动已筹集了超过 3 亿美元用于恢复 Kelp rsETH 的背书。

AI 黑客理论

近期漏洞攻击的频率和精准度引发了关于攻击者所使用工具的新一轮辩论。开发者 Vitto Rivabella 公开提出了一个理论,认为北朝鲜利用多年盗取的 DeFi 数据训练了一个内部 AI 模型,并暗示该模型现在作为一个自主攻击者运行,其排查漏洞和抽干协议资金的速度超过了人类审计师修复补丁的速度。虽然该假设尚未得到证实,但它反映了安全社区日益增长的担忧,即攻击者相对于协议防御团队可能拥有的非对称优势。

用户现在应该做什么

安全团队敦促受影响的个人撤销(Revoke)所有与该协议相关的智能合约权限,这是关键的第一步。诸如 Revoke.cash 之类的工具可以帮助删除之前授予被盗合约的访问权限。用户应避免点击可疑链接或参与非官方的追回计划,并仅关注经过验证的官方公告。

无论 AI 是否在加速当前的漏洞攻击浪潮,Wasabi 事件都让一个结构性问题变得异常清晰:缺乏时间锁或多重签名控制的单密钥管理员架构(Single-key admin architectures)仍然是当今 DeFi 中最易被利用的漏洞之一。


由 Coinplurk.com 发布

编辑说明

我们使用人工智能技术帮助更快、更高效地呈现信息。但所有内容仍须经过人工审核流程。如果您在本文中发现数据错误或事实不准确之处,请通过[举报文章]按钮向我们的编辑团队反映。

Published by Coinplurk.com

CoinPlurk News

关于作者

CoinPlurk News

认证作者

Verified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.

更多文章

6
NEWS

Visa、Mastercard 和 140 多家公司推出 Open USD 稳定币

Visa、万事达卡、Stripe、Coinbase、贝莱德以及其他 140 多家公司组成的联盟推出了 Open USD,这是一种与美元挂钩的稳定币,旨在与使用该稳定币的企业分享储备收益。

CoinPlurk News 2026年7月01日
NEWS

国际足联选定雪崩队参加2026年世界杯;AVAX股价上涨8%

国际足联决定在专用的 Avalanche 区块链上构建其 2026 年世界杯门票、会员忠诚度和数字收藏品基础设施,这给 AVAX 带来了近一个月来最强烈的看涨信号——但分析师表示,持续的需求仍需证明。

CoinPlurk News 2026年6月17日
NEWS

万事达卡(Mastercard)推出 AP4M,实现人工智能驱动的机器速度支付

万事达卡(Mastercard)创新的“机器代理支付”(AP4M)服务使人工智能代理能够跨银行卡、银行账户和稳定币,自主授权、编排并结算高频微额支付——目前已有30多家行业合作伙伴加入。

CoinPlurk News 2026年6月15日
NEWS

Polymarket瞄准日本市场,目标是在2030年获得批准。

尽管日本严格的赌博法律和全球范围内对预测市场的限制使得前进的道路充满不确定性,但 Polymarket 已任命了当地代表,并设定了 2030 年获得日本监管部门批准的目标。

CoinPlurk News 2026年5月22日
NEWS

SpaceX IPO文件披露其拥有14.5亿美元的比特币储备

SpaceX 在纳斯达克上市前向美国证券交易委员会提交的具有里程碑意义的文件披露了其持有的 18,712 个比特币,价值 14.5 亿美元,使这家航空航天公司跻身已知最大的企业比特币持有者之列。

CoinPlurk News 2026年5月21日
NEWS

Revolut首张实体加密货币卡在英国和欧洲经济区正式上线

Revolut推出了首张实体加密货币借记卡——一张以狗狗币为主题、配备LED显示屏的卡片,可在任何支持Visa和Mastercard的地方使用——这标志着金融科技领域迈出了重要一步。

CoinPlurk News 2026年5月19日

互动中心

0 回复

如果您有建议、问题,或只是想对本文发表评论,请随时在下方的讨论区留言。

请登录后参与讨论

立即登录

暂无评论。快来抢沙发吧!