Wasabi 遭駭 290 萬美元：管理員私鑰外洩、合約被改成惡意版本

DeFi 衍生品協議 Wasabi Protocol 在 4 月 30 日下午遭遇管理員私鑰外洩攻擊。根據鏈上資安公司 Blockaid 與 CertiK Alert 監測，攻擊者透過 Wasabi 的 Deployer EOA 把 ADMIN_ROLE 授權給自己的 helper 合約後，再透過 UUPS 可升級代理機制，將 perp vaults 與 LongPool 升級為惡意實作版本、直接抽走合約託管的代幣餘額。CertiK 初估損失約 290 萬美元，攻擊範圍橫跨以太坊主網與 Base 雙鏈。Wasabi 官方已於台灣時間下午 6:33 公告暫停合約互動。

攻擊路徑：部署者私鑰失守 → ADMIN_ROLE 授權 → UUPS 升級為惡意合約

4/30 台灣時間下午 4:30 左右，Blockaid 在 X 上揭露 Wasabi Protocol 出現「進行中的管理員私鑰入侵攻擊」（ongoing admin-key compromise exploit）。完整攻擊鏈條由三步組成：先是 Wasabi 的部署者錢包（Deployer EOA）遭駭，攻擊者取得該錢包私鑰；接著攻擊者用此錢包執行 grantRole 操作，把 ADMIN_ROLE 授權給自己控制的 helper 合約；最後 helper 合約利用 UUPS 升級機制，把 perp vaults（永續合約金庫）與 LongPool（多頭資金池）兩個核心合約的實作（implementation）替換為惡意版本，後者直接抽走合約託管的代幣餘額。

UUPS（Universal Upgradeable Proxy Standard）是 OpenZeppelin 推廣的可升級智能合約模式，升級邏輯放在「實作合約」而非代理層。優點是 gas 成本較低、合約結構較精簡；代價是「能執行升級的角色」一旦被攻陷，攻擊者可在不通過治理流程或時間鎖的情況下，直接把整個合約替換為任意邏輯。這次事件正是 UUPS 模式遭管理員私鑰外洩濫用的典型範例。

CertiK 估損 290 萬美元，影響以太坊與 Base 雙鏈

CertiK Alert 在 4/30 下午 4:30 同步確認事件：「攻擊者被 Wasabi 部署者錢包授予具特權的 Role，顯示該錢包遭到入侵。」CertiK 引用鏈上資料估算損失約 290 萬美元。攻擊發生在以太坊主網與 Base 兩條鏈，受影響的核心合約是 perp vaults 與 LongPool 兩條產品線—前者用於永續合約倉位的擔保品託管，後者承載多頭資金池。

事件規模相比於 4 月初 Drift Protocol 在 Solana 遭駭的 2.85 億美元小得多，但攻擊類型本質相似—同樣是管理員私鑰外洩搭配高權限角色濫用。對 DeFi 生態而言，這類「私鑰類」攻擊重複出現意味著：智能合約程式碼本身的正確性，無法保護那些可在程式碼之外繞過機制的特權帳戶。

Wasabi 暫停合約互動、Virtuals Protocol 凍結保證金存款

Wasabi Protocol 官方於 4/30 下午 6:33 在 X 發出公告：「我們已注意到問題並正在積極調查。作為預防措施，請勿與 Wasabi 合約互動，直到後續通知。」官方在公告中並未直接確認 Blockaid 與 CertiK 描述的攻擊細節，僅表示有更多資訊將補充說明。

下游受影響專案中最值得注意的是 Virtuals Protocol—過去一年熱門的 AI Agent 協議生態，部分產品功能仰賴 Wasabi 提供的保證金存款服務。Virtuals 於 4/30 下午 5:07 在 X 表態，自身安全完整無事，已即刻凍結由 Wasabi 支援的保證金存款功能；其餘交易、提領、agent 操作均維持正常運作，並提醒用戶在事件解決前不要簽署任何 Wasabi 相關交易。

對 DeFi 投資人而言，這類事件的提醒一致：當協議之間互相組合、使用上游服務的槓桿或衍生品功能時，上游基礎設施的私鑰安全會變成所有下游用戶共同承擔的風險，與自己直接互動的協議是否安全無關。

這篇文章 Wasabi 遭駭 290 萬美元：管理員私鑰外洩、合約被改成惡意版本 最早出現於 鏈新聞 ABMedia。