DeFi 衍生品协议 Wasabi Protocol 于 4 月 30 日下午遭遇管理员私钥泄露攻击。根据链上安全公司 Blockaid 与 CertiK Alert 的监测,攻击者通过 Wasabi 的 Deployer EOA 把 ADMIN_ROLE 授权给自己的 helper 合约后,再通过 UUPS 可升级代理机制,将 perp vaults 与 LongPool 升级为恶意实现版本、直接抽走合约托管的代币余额。CertiK 初估损失约 290 万美元,攻击范围横跨以太坊主网与 Base 双链。Wasabi 官方已于台湾时间下午 6:33 公告暂停合约互动。
攻击路径:部署者私钥失守 → ADMIN_ROLE 授权 → UUPS 升级为恶意合约
4/30 台湾时间下午 4:30 左右,Blockaid 在 X 上披露 Wasabi Protocol 出现“进行中的管理员私钥入侵攻击”(ongoing admin-key compromise exploit)。完整攻击链条由三步组成:先是 Wasabi 的部署者钱包(Deployer EOA)遭駭,攻击者取得该钱包私钥;接着攻击者用此钱包执行 grantRole 操作,把 ADMIN_ROLE 授权给自己控制的 helper 合约;最后 helper 合约利用 UUPS 升级机制,把 perp vaults(永续合约金库)与 LongPool(多头资金池)两个核心合约的实现(implementation)替换为恶意版本,后者直接抽走合约托管的代币余额。
UUPS(Universal Upgradeable Proxy Standard)是 OpenZeppelin 推广的可升级智能合约模式,升级逻辑放在“实现合约”而非代理层。优点是 gas 成本较低、合约结构较简洁;代价是“能执行升级的角色”一旦被攻陷,攻击者可在不通过治理流程或时间锁的情况下,直接把整个合约替换为任意逻辑。这次事件正是 UUPS 模式遭管理员私钥泄露滥用的典型例子。
CertiK 估损 290 万美元,影响以太坊与 Base 双链
CertiK Alert 在 4/30 下午 4:30 同步确认事件:“攻击者被 Wasabi 部署者钱包授予具特权的 Role,显示该钱包遭到入侵。”CertiK 引用链上资料估算损失约 290 万美元。攻击发生在以太坊主网与 Base 两条链,受影响的核心合约是 perp vaults 与 LongPool 两条产品线——前者用于永续合约仓位的担保品托管,后者承载多头资金池。
事件规模相比于 4 月初 Drift Protocol 在 Solana 遭駭的 2.85 亿美元小得多,但攻击类型本质相似——同样是管理员私钥泄露搭配高权限角色滥用。对 DeFi 生态而言,这类“私钥类”攻击反复出现意味着:智能合约程序代码本身的正确性,无法保护那些可在代码之外绕过机制的特权账户。
Wasabi 暂停合约互动、Virtuals Protocol 冻结保证金存款
Wasabi Protocol 官方于 4/30 下午 6:33 在 X 发出公告:“我们已注意到问题并正在积极调查。作为预防措施,请勿与 Wasabi 合约互动,直到后续通知。”官方在公告中并未直接确认 Blockaid 与 CertiK 描述的攻击细节,仅表示有更多信息将补充说明。
下游受影响项目中最值得注意的是 Virtuals Protocol——过去一年热门的 AI Agent 协议生态,部分产品功能仰赖 Wasabi 提供的保证金存款服务。Virtuals 于 4/30 下午 5:07 在 X 表态,自身安全完整无事,已即刻冻结由 Wasabi 支援的保证金存款功能;其余交易、提领、agent 操作均维持正常运作,并提醒用户在事件解决前不要签署任何 Wasabi 相关交易。
对 DeFi 投资人而言,这类事件的提醒一致:当协议之间互相组合、使用上游服务的杠杆或衍生品功能时,上游基础设施的私钥安全会变成所有下游用户共同承担的风险,与自己直接互动的协议是否安全无关。
这篇文章 Wasabi 遭駭 290 万美元:管理员私钥泄露、合约被改成恶意版本 最早出现在 鏈新闻 ABMedia。
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Los actores norcoreanos extraen $577M en ciberataques cripto hasta abril de 2026, representando el 76% de las pérdidas globales
Según TRM Labs, actores norcoreanos extrajeron aproximadamente 577 millones de dólares en los primeros cuatro meses de 2026, lo que representa el 76% de todas las pérdidas globales por hackeos de criptomonedas durante el período. El robo se origina en dos incidentes de abril: el exploit de KelpDAO por 292 millones de dólares y el de Drift por 285 millones de dólares
GateNewshace3h
Corea del Norte representó el 76% de las pérdidas por hackeos cripto de 2026 en los primeros cuatro meses, $577M robado: TRM Labs
Según TRM Labs, los actores norcoreanos extrajeron aproximadamente 577 millones de dólares durante los primeros cuatro meses de 2026, lo que representa el 76% de todas las pérdidas globales por hackeos de criptomonedas durante el periodo. Las pérdidas provienen de dos incidentes de abril: el exploit de KelpDAO por 292 millones de dólares y el de Drift Pr
GateNewshace3h
Kelp realiza una actualización integral del puente entre cadenas en dos semanas y ether.fi endurece WeETH al mismo tiempo
Tras el hackeo de un puente de interoperabilidad de rsETH el 18 de abril, dos semanas después, Kelp completó una actualización el 29/4: los validadores el 4/4, 64 confirmaciones de bloque, topología en hub-and-spoke y los mensajes entre cadenas deben pasar obligatoriamente por la red principal de Ethereum como intermediaria. ether.fi también endureció weETH al mismo tiempo y añadió una donación de 5.000 ETH de DeFi United. DeFi United movilizó más de 70.000 ETH para fondos de rescate, y los tipos de interés del mercado en Aave bajaron de forma notable; pero los atacantes aún conservan alrededor de 107.000 rsETH pendientes de liquidación, y se requiere una recuperación mediante gobernanza y un proceso tipo comité.
ChainNewsAbmediahace3h
WasabiCard aclara que no tiene ninguna asociación con Wasabi Protocol y Wasabi Wallet el 30 de abril
Según BlockBeats, WasabiCard emitió un comunicado de seguridad el 30 de abril aclarando que no tiene ninguna afiliación con Wasabi Protocol, Wasabi Wallet ni con proyectos e instituciones relacionados. La plataforma se asocia con Safeheron para servicios de billetera de custodia y colabora con un auditor de seguridad
GateNewshace6h
La fuerza de tareas global dirigida por el FBI detiene a 276 personas en estafas cripto de “engorde de cerdos” y desmantela 9 centros
De acuerdo con el Departamento de Justicia de EE. UU., la fuerza de tareas global liderada por el FBI arrestó a 276 sospechosos y desmanteló nueve centros de estafa de criptomonedas el miércoles. La policía de Dubái arrestó a 275 personas, y tres fueron acusadas en California por cargos de fraude electrónico y lavado de dinero. Las autoridades tailandesas arrestaron a un sospe
GateNewshace7h
