DeFi-Derivatevereinbarung: Wasabi Protocol wurde am 30. April am Nachmittag von einem Angriff mit kompromittiertem Admin-Private-Key heimgesucht. Laut den Überwachungen der On-Chain-Sicherheitsfirmen Blockaid und CertiK Alert hat der Angreifer, nachdem er über den Wasabi Deployer EOA die ADMIN_ROLE an seinen eigenen Helper-Contract autorisiert hatte, anschließend über das UUPS-Upgradeable-Proxy-Mechanismus die perp vaults und den LongPool auf bösartige Implementationen umgestellt und so die im Contract verwalteten Token-Bestände direkt abgezogen. CertiK schätzt den Schaden auf rund 2,9 Millionen US-Dollar; der Angriff erstreckte sich über das Ethereum-Mainnet und die Base-Doppel-Chain. Das offizielle Wasabi-Team hat um 18:33 Uhr Taiwan-Zeit angekündigt, die Interaktion mit den Verträgen vorübergehend zu stoppen.
Angriffspfad: Deployer-Private-Key kompromittiert → ADMIN_ROLE autorisiert → UUPS-Upgrade auf bösartigen Contract
Am 30.4. gegen 16:30 Uhr Taiwan-Zeit enthüllte Blockaid auf X, dass Wasabi Protocol einen „laufenden Angriff auf kompromittierte Admin-Private-Keys“ (ongoing admin-key compromise exploit) aufweist. Die vollständige Angriffskette besteht aus drei Schritten: Zuerst wird die Wallet des Wasabi-Deployers (Deployer EOA) gehackt, wodurch der Angreifer den Private Key dieser Wallet erlangt; anschließend führt der Angreifer mit dieser Wallet eine grantRole-Operation aus und erteilt der eigenen Kontrolle des Helper-Contracts die ADMIN_ROLE; schließlich nutzt der Helper-Contract den UUPS-Upgrade-Mechanismus, um die Implementierung (implementation) zweier Kernverträge—perp vaults (Unbefristete-Contract-Tresore) und LongPool (Long-Funding-Pool)—durch bösartige Versionen zu ersetzen, wobei Letztere die im Contract verwalteten Token-Bestände direkt abziehen.
UUPS (Universal Upgradeable Proxy Standard) ist ein von OpenZeppelin beworbenes Upgrade-fähiges Smart-Contract-Modell, bei dem die Upgrade-Logik in „dem Implementierungs-Contract“ statt in der Proxy-Ebene liegt. Der Vorteil sind geringere Gas-Kosten und eine schlankere Contract-Struktur; der Preis ist, dass eine „Rolle, die Upgrades ausführen kann“, sobald sie kompromittiert wurde, der Angreifer das gesamte Contract ohne Umweg über Governance-Prozesse oder Time-Locks direkt durch beliebige Logik ersetzen kann. Dieser Vorfall ist ein typisches Beispiel dafür, wie der UUPS-Modus durch die missbräuchliche Verwendung kompromittierter Admin-Private-Keys ausgenutzt wird.
CertiK schätzt den Schaden auf 2,9 Millionen US-Dollar, Auswirkungen auf Ethereum und Base-Doppel-Chain
CertiK Alert bestätigte am 30.4. um 16:30 Uhr synchron den Vorfall: „Der Angreifer wurde durch den Wasabi-Deployers Wallet mit einer privilegierten Role bedacht, was zeigt, dass diese Wallet kompromittiert wurde.“ CertiK zitiert On-Chain-Daten zur Schätzung des Verlusts in Höhe von rund 2,9 Millionen US-Dollar. Der Angriff ereignete sich auf dem Ethereum-Mainnet und Base; die betroffenen Kernverträge sind perp vaults und LongPool aus zwei Produktlinien—erstere dienen zur Verwahrung von Sicherheiten für Perpetual-Contract-Positionen, letztere tragen den Long-Funding-Pool.
Das Ausmaß des Vorfalls ist zwar deutlich kleiner als die 285 Millionen US-Dollar, die Anfang April beim Solana-Hack von Drift Protocol verloren gingen, doch ist die Art des Angriffs im Kern ähnlich—gleichsam ist es ein Muster aus kompromittierten Admin-Private-Keys kombiniert mit dem Missbrauch von Hochprivilegien-Rollen. Für das DeFi-Ökosystem bedeutet dieses wiederkehrende Auftreten von „Private-Key-basierten“ Angriffen: Die Korrektheit des Smart-Contract-Codes allein kann nicht vor solchen privilegierten Konten schützen, die Mechanismen außerhalb des Codes umgehen können.
Wasabi pausiert die Contract-Interaktion, Virtuals Protocol friert Margin-Einlagen ein
Das offizielle Wasabi Protocol gab am 30.4. um 18:33 Uhr auf X eine Mitteilung heraus: „Wir haben das Problem bemerkt und untersuchen es aktiv. Bitte interagiert bis zur weiteren Benachrichtigung nicht mit den Wasabi-Contracts.“ In der offiziellen Ankündigung wurde die von Blockaid und CertiK beschriebenen Angriffsdétails nicht direkt bestätigt; es wurde lediglich darauf hingewiesen, dass weitere Informationen nachgereicht werden.
Unter den nachgelagert betroffenen Projekten ist Virtuals Protocol am bemerkenswertesten: In den vergangenen zwölf Monaten war das AI-Agent-Protokoll in der Szene beliebt, und ein Teil der Produktfunktionen stützt sich auf die von Wasabi angebotenen Margin-Einzahlungsdienste. Virtuals stellte am 30.4. um 17:07 Uhr auf X klar, dass die eigene Sicherheit vollständig in Ordnung sei, und fror umgehend die von Wasabi unterstützten Margin-Einzahlungsfunktionen ein; alle übrigen Trades, Auszahlungen und agentbezogenen Aktionen laufen weiterhin normal. Zudem wurde die Warnung ausgesprochen, dass Nutzer bis zur Beilegung des Vorfalls keine Wasabi-bezogenen Transaktionen signieren sollen.
Für DeFi-Investoren ist die Lehre aus solchen Ereignissen konsistent: Wenn Protokolle sich gegenseitig kombinieren und bei der Nutzung der Funktionen von Upstream-Services Hebel oder Derivate einsetzen, wird die Sicherheit der Private Keys der Upstream-Basisinfrastruktur zu einem Risiko, das alle nachgelagerten Nutzer gemeinsam tragen—unabhängig davon, ob das eigene direkt genutzte Protokoll sicher ist.
Dieser Artikel: Wasabi wurde um 2,9 Millionen US-Dollar gehackt—kompromittierte Admin-Private-Keys, Contract wurde in eine bösartige Version umgeändert. Erstmals erschienen bei: Ketten-News ABMedia.
