永續合約平台 Wasabi Protocol 於週四遭到攻擊,攻擊者入侵掌控其 Ethereum (ETH) 及 Base 金庫合約的管理金鑰,導致約 450 萬美元資產被轉走。
Wasabi 攻擊細節
這次入侵最先由保安公司 Blockaid 標示,追蹤到一個在 Wasabi 權限系統中持有唯一 ADMIN_ROLE 的部署錢包。
攻擊者在該合約上呼叫 grantRole,將管理權限授予一個協助合約,然後對永續金庫及 LongPool 推送 UUPS 升級。惡意的實作隨後在兩條鏈上把資金全部抽走。
受影響的池子包括 Ethereum 上的 wWETH、sUSDC、wBITCOIN、wPEPE 及 Long Pool 金庫,以及 Base 上的 sUSDC、sBTC、sAERO 等池子,CertiK 報告 指出,Wasabi 在管理權限上沒有設置 timelock 或 multisig。
延伸閱讀: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
單一金鑰風險重演
分析人士指出,這套攻擊手法已十分熟悉。這次事件與 4 月 1 日 Drift Protocol 遭入侵 的情況高度類似,當時一把被盜用的管理金鑰在約 12 分鐘內,於 Solana (SOL) 上抽走了 2.85 億美元。
幾週後,Kelp DAO 因 LayerZero 跨鏈橋中的單一驗證者缺陷 損失了 2.92 億美元。
僅 4 月一個月,DeFi 已因至少 12 宗事件損失超過 6.05 億美元,令 2026 年累計損失金額升至逾 7.7 億美元。同月內,CoW Swap、Grinex、Resolv Labs 及 Volo Protocol 等較小規模的攻擊事件亦陸續出現。
接下來閱讀: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965