永續合約平台 Wasabi Protocol 週四因控制其 Ethereum (ETH) 與 Base 金庫合約的管理員金鑰遭到攻擊者入侵,損失約 450 萬美元。
Wasabi 攻擊細節
此次漏洞最先由安全公司 Blockaid 發出警示, 該公司追蹤到損失源自一個在 Wasabi 權限系統中持有唯一 ADMIN_ROLE 的部署錢包。
攻擊者在該合約上呼叫 grantRole,將管理員權限轉移給一個協助合約, 並對永續金庫與 LongPool 進行 UUPS 升級。隨後部署的惡意實作便將兩條鏈上的資金餘額悉數掏空。
受影響的資金池包括 Ethereum 上的 wWETH、sUSDC、wBITCOIN、wPEPE 與 Long Pool 金庫, 以及 Base 上的 sUSDC、sBTC、sAERO 等資產,根據 CertiK 的報告。 Wasabi 對該管理員角色未設置任何 timelock 或多簽機制。
延伸閱讀: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
單一金鑰風險再次上演
分析人士指出,這次的攻擊手法相當熟悉。事件與 4 月 1 日 Drift Protocol 遭攻擊事件 極為相似,當時一把被入侵的管理員金鑰在約 12 分鐘內便於 Solana (SOL) 上掏空了 2.85 億美元。
幾週之後,Kelp DAO 又因 LayerZero 跨鏈橋中單一驗證者漏洞損失 2.92 億美元。
僅 4 月份,DeFi 領域已在至少 12 起事件中累計損失逾 6.05 億美元, 使 2026 年迄今的總損失金額突破 7.7 億美元。 同一個月內,CoW Swap、Grinex、Resolv Labs 與 Volo Protocol 等較小規模的漏洞事件也接連發生,進一步推高損失。
下一篇閱讀: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965