永续合约平台 Wasabi Protocol 周四遭遇攻击,攻击者攻破了控制其 Ethereum (ETH) 和 Base 金库合约的管理员密钥,导致约 450 万美元资金被盗。
Wasabi 漏洞细节
此次漏洞最先被安全公司 Blockaid 发现。Blockaid 将损失追溯到一个部署者钱包,该钱包在 Wasabi 的权限系统中持有唯一的 ADMIN_ROLE。
攻击者在该合约上调用了 grantRole,将管理员权限授予一个辅助合约,然后对永续金库和 LongPool 进行了 UUPS 升级。恶意实现版本随后在两条链上同时抽空了资金余额。
受影响的资金池包括以太坊上的 wWETH、sUSDC、wBITCOIN、wPEPE 以及 Long Pool 金库;在 Base 链上则包括 sUSDC、sBTC、sAERO 等,正如 CertiK 报道 的那样。Wasabi 在管理员角色之上既没有设置延时锁(timelock),也未采用多签机制。
延伸阅读: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
单一密钥风险重演
分析人士指出,这套攻击“剧本”已并不陌生。本次事件与4 月 1 日 Drift Protocol 遭遇的攻击高度相似——当时一个被攻破的管理员密钥在约 12 分钟内,抽空了 Solana (SOL) 上 2.85 亿美元资产。
数周后,Kelp DAO 又因其 LayerZero 跨链桥中的单一验证者缺陷损失 2.92 亿美元。
仅在 4 月,DeFi 领域就已在至少 12 起事件中损失逾 6.05 亿美元,使 2026 年累计损失突破 7.7 亿美元。同一月份,CoW Swap、Grinex、Resolv Labs 和 Volo Protocol 等项目也相继遭受较小规模攻击,进一步扩大了总体损失。
接下来阅读: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965