K线
数据链上
VIP
市值
API
排行
CoinOSNew
CoinClaw🦞
语言
  • 简体中文
  • 繁体中文
  • English
全球行情数据应用领跑者,致力于更高效地提供有价值的信息。

功能

  • 实时行情
  • 特色功能
  • AI网格

服务

  • 资讯内容
  • 开放数据(API)
  • 机构服务

软件下载

  • PC版
  • Android版
  • iOS版

联系我们

  • 聊天室
  • 商务邮箱
  • 官方邮箱
  • 官方验证通道

加入社区

  • Telegram
  • Twitter
  • Discord

© Copyright 2013-2026. All rights reserved.

简体繁體English
|旧版

芥末协议在攻击者在三条链上夺取部署者管理员密钥后损失500万美元

CN
bitcoin.com
关注
4小时前
AI 总结,5秒速览全文
  • 攻击者于2026年4月30日通过破坏部署者的EOA管理员密钥,窃取了450万到550万美元的Wasabi Protocol资产。
  • Virtuals Protocol在事件发生后立即冻结了保证金存款,尽管其自身的安全性完好无损。
  • Wasabi Protocol尚未发表公开声明;用户必须撤销在以太坊、Base和Blast上的所有授权。

被破坏的地址0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8是控制Wasabi的Perpmanager合约的唯一管理员密钥。攻击者 reportedly 使用它向恶意辅助合约授予ADMIN_ROLE,然后在Wasabivault代理和Wasabilongpool上执行未经授权的UUPS代理升级,随后提取抵押品和池余额。

安全公司Hypernative在所有三个链上对该事件发出了高严重性警报。Blockaid、Cyvers和Defimonalerts也实时检测到了这一活动。Hypernative确认自己不是Wasabi的客户,但独立发现了该漏洞,并承诺进行全面的技术分析。

攻击者通过控制部署者管理员密钥而导致Wasabi Protocol损失500万美元

Blockaid于2026年4月30日凌晨4:30发出了警告。

攻击从UTC时间07:48左右开始,持续了约两个小时。部署者在以太坊、Base和Blast上向攻击者控制的合约授予了ADMIN_ROLE。一个恶意合约随后在七到八个WasabiVault代理上调用了strategyDeposit(),传递了一个假策略,触发了返回所有抵押品的 drain() 函数。

然后,以太坊和Base上的Wasabilongpool被升级为恶意实现,提取了剩余的余额。资金被合并为ETH,根据需要进行桥接,并分发到多个地址。早期报告显示,与Tornado Cash相关的一些活动。

据了解,最大的单笔损失为840.9 WETH,当时价值超过190万美元。其他被提取的资产包括sUSDC、sREKT、PEPE、MOG、NEIRO、ZYN和比特币,以及Base链资产如VIRTUAL、AERO和cbBTC。根据Defillama的数据,在攻击发生前,Wasabi在各链上的总锁仓价值(TVL)约为850万美元。

这是一次密钥管理的失败,而不是智能合约漏洞。没有涉及重入或逻辑漏洞。攻击者可能通过钓鱼、恶意软件或直接盗窃获得了私钥,然后利用可升级代理架构在不触发常规安全检查的情况下提取资金。

在检测到事件后,驱动Wasabi的保证金存款的Virtuals Protocol迅速采取行动。团队冻结了所有保证金存款,并确认其自身的安全性完好无损。Virtuals上的交易、提款和代理操作不受影响地继续进行。团队警告用户避免签署任何与Wasabi相关的交易。

截至最新可用数据,Wasabi Protocol尚未发表公开声明或事件报告。该协议在其他无关事件中之前曾快速沟通,并获得了Zellic和Sherlock的审计,但此次攻击完全绕过了这些保护措施。

有风险的用户被建议立即撤销在以太坊、Base和Blast上的所有Wasabi授权。像Revoke.cash、Etherscan和Basescan这样的工具可以帮助识别活动授权。任何剩余的LP头寸应立即撤回,且在团队确认密钥更换和合约完整性之前,请勿签署任何与Wasabi相关的交易。

该事件符合2026年DeFi中观察到的模式:可升级的代理合约与集中管理员密钥配对,形成一个绕过经过良好审计代码的单点故障。当一个密钥控制多个链上的升级权限时,单一的破坏就会演变成协议范围内的事件。

Wasabi的漏洞并非孤立发生。2026年4月,各种DeFi协议已从大约十多个被确认的事件中抽走超过6亿美元,使其成为该行业有记录以来最糟糕的月份之一。这个月在4月1日开始,攻击者通过治理操控和预言机滥用,从Solana的Drift Protocol中提取了约2.85亿美元,花费了不到20分钟。

第二次重大打击发生在4月18日左右,当时Layerzero桥接漏洞袭击了以太坊上的KelpDAO,导致约2.92亿美元的rsETH被提取,并引发了超过100亿美元的下游传染,波及包括Aave在内的借贷平台。整个4月还发生了Silo Finance、Cow Swap、Grinex、Rhea Finance和Aftermath Finance等小规模攻击。

几乎每个事件的模式都指向管理员密钥的破坏、桥接弱点和可升级代理的风险,而不是代码层面的漏洞,暴露出单靠审计无法保护的集中控制点。

Wasabi的情况仍在持续。用户应关注官方@wasabi_protocol账号和安全公司动态以获取更新。

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

|
|
APP下载
Windows
Mac
分享至:

X

Telegram

Facebook

Reddit

复制链接

|
|
APP下载
Windows
Mac
分享至:

X

Telegram

Facebook

Reddit

复制链接

bitcoin.com的精选文章

8分钟前
比亚迪金融六周年庆祝活动并推出预测市场
8分钟前
Celsius 创始人亚历克斯·马欣斯基面临 47.2亿美金的联邦贸易委员会判决,终身禁止从事加密货币交易。
48分钟前
泰达投资公司提议与XXI和Strike进行重大比特币合并
查看更多

目录

|
|
APP下载
Windows
Mac
分享至:

X

Telegram

Facebook

Reddit

复制链接

相关文章

avatar
avatarbitcoin.com
8分钟前
比亚迪金融六周年庆祝活动并推出预测市场
avatar
avatarbitcoin.com
8分钟前
Celsius 创始人亚历克斯·马欣斯基面临 47.2亿美金的联邦贸易委员会判决,终身禁止从事加密货币交易。
avatar
avatarbitcoin.com
48分钟前
泰达投资公司提议与XXI和Strike进行重大比特币合并
avatar
avatarbitcoin.com
1小时前
交易者推动MEGA市值达到2亿美金,MegaETH同时在13个交易所上市
avatar
avatarbitcoin.com
2小时前
ViaBTC 首席执行官定义区块链在加密市场成熟过程中的角色
APP下载
Windows
Mac

X

Telegram

Facebook

Reddit

复制链接