Wasabi协议因管理员密钥漏洞损失超过500万美元

事件始末

据区块链安全公司 PeckShield 报告，链上永续合约协议 Wasabi 于 2026 年 4 月 30 日遭到黑客攻击，攻击者在 Ethereum、Base、Berachain 和 Blast 链上共计窃取了超过 500 万美元的资金。

攻击者通过协议的部署者钱包（识别为 wasabideployer.eth，该地址是 Wasabi 的 PerpManager AccessManager 中唯一持有该角色的地址）获取了 ADMIN_ROLE 权限，随后将金库（Vaults）升级为恶意实现版本，从而抽干了用户的余额。初步统计约有 455 万美元被提取，调查目前仍在进行中。

Wasabi 在 X 上确认了这一事件，并敦促用户在调查期间停止使用该协议，同时确认已聘请了专业的链上安全响应团队，包括 SEAL 911 和 Blockaid。

攻击是如何执行的

本次攻击是通过一种称为 UUPS 升级漏洞（UUPS upgrade exploit）的机制实施的。在获取部署者账户控制权后，攻击者发起了一次合约升级，将安全代码替换为恶意逻辑，从而将资金从金库和流动性池重定向到自己的地址。由于该协议缺乏时间锁（Timelock）机制，这些更改被立即执行——导致开发人员或用户完全没有介入的机会。

本次漏洞的关键技术细节包括：

• 攻击者在部署者 EOA 上调用了 grantRole 且没有延迟，瞬间将其编排器合约（Orchestrator Contract）转换为管理员。
• 受影响金库的 Wasabi 和 Spicy LP-share 代币已被标记为被盗状态，其赎回价值已趋于零。
• Blockaid 指出，相同的攻击者地址、编排器合约和策略字节码（Strategy Bytecode）将此次事件与之前针对 Wasabi 的活动联系在了一起。
• 协议缺乏多重签名授权或时间延迟等安全防御措施，无法阻止恶意操作的即时执行。

2026 年 4 月：DeFi 有史以来最糟糕的一个月

Wasabi 漏洞并非孤立事件。这次黑客攻击为一个对 DeFi 来说极其残酷的月份画上了句号，该月发生了两次重大漏洞攻击和二十多次小型事件。Monad 的前 DeFi 负责人在 X 上指出，2026 年 4 月在 30 天内共发生了 28 起事件，导致约 6.35 亿美元的损失。

本月最大的两起事件分别是：

• Drift Protocol —— 4 月 1 日，这个基于 Solana 的永续合约交易所遭受了约 2.7 亿美元的资金流出，涉及超过 15 种不同的代币类型。据报道，这是一场策划了六个月、与北朝鲜国家相关的行动。
• Kelp DAO —— 4 月 18 日，一名疑似受北朝鲜国家支持的攻击者利用 LayerZero 桥接漏洞，伪造了跨链消息，在源链未锁定任何资产的情况下铸造了 116,500 枚 rsETH。攻击者随后将这些无抵押的 rsETH 存入 Aave 作为抵押品，借出了约 2.36 亿美元的真实 WETH。

针对 Kelp 事件的回应包括 DeFi 协议和个人之间前所未有的集体协作，被称为“DeFi United”，该行动已筹集了超过 3 亿美元用于恢复 Kelp rsETH 的背书。

AI 黑客理论

近期漏洞攻击的频率和精准度引发了关于攻击者所使用工具的新一轮辩论。开发者 Vitto Rivabella 公开提出了一个理论，认为北朝鲜利用多年盗取的 DeFi 数据训练了一个内部 AI 模型，并暗示该模型现在作为一个自主攻击者运行，其排查漏洞和抽干协议资金的速度超过了人类审计师修复补丁的速度。虽然该假设尚未得到证实，但它反映了安全社区日益增长的担忧，即攻击者相对于协议防御团队可能拥有的非对称优势。

用户现在应该做什么

安全团队敦促受影响的个人撤销（Revoke）所有与该协议相关的智能合约权限，这是关键的第一步。诸如 Revoke.cash 之类的工具可以帮助删除之前授予被盗合约的访问权限。用户应避免点击可疑链接或参与非官方的追回计划，并仅关注经过验证的官方公告。

无论 AI 是否在加速当前的漏洞攻击浪潮，Wasabi 事件都让一个结构性问题变得异常清晰：缺乏时间锁或多重签名控制的单密钥管理员架构（Single-key admin architectures）仍然是当今 DeFi 中最易被利用的漏洞之一。

由 Coinplurk.com 发布