K線
數據鏈上
VIP
市值
API
排行
CoinOSNew
CoinClaw🦞
語言
  • 简体中文
  • 繁体中文
  • English
全球行情資料應用程式領跑者,致力於更有效率地提供有價值的資訊。

功能

  • 即時行情
  • 特色功能
  • AI網格

服務

  • 資訊內容
  • 開放數據(API)
  • 機構服務

軟體下載

  • PC版
  • Android版
  • iOS版

聯絡我們

  • 聊天室
  • 商務信箱
  • 官方信箱
  • 官方驗證通道

加入社區

  • Telegram
  • Twitter
  • Discord

© Copyright 2013-2026. All rights reserved.

简体繁體English
|舊版

芥末协议在攻击者在三条链上夺取部署者管理员密钥后损失500万美元

CN
bitcoin.com
關注
4 小時前
AI 總結,5秒速覽全文
  • 攻击者于2026年4月30日通过破坏部署者的EOA管理员密钥,窃取了450万到550万美元的Wasabi Protocol资产。
  • Virtuals Protocol在事件发生后立即冻结了保证金存款,尽管其自身的安全性完好无损。
  • Wasabi Protocol尚未发表公开声明;用户必须撤销在以太坊、Base和Blast上的所有授权。

被破坏的地址0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8是控制Wasabi的Perpmanager合约的唯一管理员密钥。攻击者 reportedly 使用它向恶意辅助合约授予ADMIN_ROLE,然后在Wasabivault代理和Wasabilongpool上执行未经授权的UUPS代理升级,随后提取抵押品和池余额。

安全公司Hypernative在所有三个链上对该事件发出了高严重性警报。Blockaid、Cyvers和Defimonalerts也实时检测到了这一活动。Hypernative确认自己不是Wasabi的客户,但独立发现了该漏洞,并承诺进行全面的技术分析。

攻击者通过控制部署者管理员密钥而导致Wasabi Protocol损失500万美元

Blockaid于2026年4月30日凌晨4:30发出了警告。

攻击从UTC时间07:48左右开始,持续了约两个小时。部署者在以太坊、Base和Blast上向攻击者控制的合约授予了ADMIN_ROLE。一个恶意合约随后在七到八个WasabiVault代理上调用了strategyDeposit(),传递了一个假策略,触发了返回所有抵押品的 drain() 函数。

然后,以太坊和Base上的Wasabilongpool被升级为恶意实现,提取了剩余的余额。资金被合并为ETH,根据需要进行桥接,并分发到多个地址。早期报告显示,与Tornado Cash相关的一些活动。

据了解,最大的单笔损失为840.9 WETH,当时价值超过190万美元。其他被提取的资产包括sUSDC、sREKT、PEPE、MOG、NEIRO、ZYN和比特币,以及Base链资产如VIRTUAL、AERO和cbBTC。根据Defillama的数据,在攻击发生前,Wasabi在各链上的总锁仓价值(TVL)约为850万美元。

这是一次密钥管理的失败,而不是智能合约漏洞。没有涉及重入或逻辑漏洞。攻击者可能通过钓鱼、恶意软件或直接盗窃获得了私钥,然后利用可升级代理架构在不触发常规安全检查的情况下提取资金。

在检测到事件后,驱动Wasabi的保证金存款的Virtuals Protocol迅速采取行动。团队冻结了所有保证金存款,并确认其自身的安全性完好无损。Virtuals上的交易、提款和代理操作不受影响地继续进行。团队警告用户避免签署任何与Wasabi相关的交易。

截至最新可用数据,Wasabi Protocol尚未发表公开声明或事件报告。该协议在其他无关事件中之前曾快速沟通,并获得了Zellic和Sherlock的审计,但此次攻击完全绕过了这些保护措施。

有风险的用户被建议立即撤销在以太坊、Base和Blast上的所有Wasabi授权。像Revoke.cash、Etherscan和Basescan这样的工具可以帮助识别活动授权。任何剩余的LP头寸应立即撤回,且在团队确认密钥更换和合约完整性之前,请勿签署任何与Wasabi相关的交易。

该事件符合2026年DeFi中观察到的模式:可升级的代理合约与集中管理员密钥配对,形成一个绕过经过良好审计代码的单点故障。当一个密钥控制多个链上的升级权限时,单一的破坏就会演变成协议范围内的事件。

Wasabi的漏洞并非孤立发生。2026年4月,各种DeFi协议已从大约十多个被确认的事件中抽走超过6亿美元,使其成为该行业有记录以来最糟糕的月份之一。这个月在4月1日开始,攻击者通过治理操控和预言机滥用,从Solana的Drift Protocol中提取了约2.85亿美元,花费了不到20分钟。

第二次重大打击发生在4月18日左右,当时Layerzero桥接漏洞袭击了以太坊上的KelpDAO,导致约2.92亿美元的rsETH被提取,并引发了超过100亿美元的下游传染,波及包括Aave在内的借贷平台。整个4月还发生了Silo Finance、Cow Swap、Grinex、Rhea Finance和Aftermath Finance等小规模攻击。

几乎每个事件的模式都指向管理员密钥的破坏、桥接弱点和可升级代理的风险,而不是代码层面的漏洞,暴露出单靠审计无法保护的集中控制点。

Wasabi的情况仍在持续。用户应关注官方@wasabi_protocol账号和安全公司动态以获取更新。

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

|
|
APP下載
Windows
Mac
分享至:

X

Telegram

Facebook

Reddit

複製鏈接

|
|
APP下載
Windows
Mac
分享至:

X

Telegram

Facebook

Reddit

複製鏈接

bitcoin.com的精選文章

10 分鐘前
比亚迪金融六周年庆祝活动并推出预测市场
10 分鐘前
Celsius 创始人亚历克斯·马欣斯基面临 47.2亿美金的联邦贸易委员会判决,终身禁止从事加密货币交易。
50 分鐘前
泰达投资公司提议与XXI和Strike进行重大比特币合并
查看更多

目錄

|
|
APP下載
Windows
Mac
分享至:

X

Telegram

Facebook

Reddit

複製鏈接

相關文章

avatar
avatarbitcoin.com
10 分鐘前
比亚迪金融六周年庆祝活动并推出预测市场
avatar
avatarbitcoin.com
10 分鐘前
Celsius 创始人亚历克斯·马欣斯基面临 47.2亿美金的联邦贸易委员会判决,终身禁止从事加密货币交易。
avatar
avatarbitcoin.com
50 分鐘前
泰达投资公司提议与XXI和Strike进行重大比特币合并
avatar
avatarbitcoin.com
1 小時前
交易者推动MEGA市值达到2亿美金,MegaETH同时在13个交易所上市
avatar
avatarbitcoin.com
2 小時前
ViaBTC 首席执行官定义区块链在加密市场成熟过程中的角色
APP下載
Windows
Mac

X

Telegram

Facebook

Reddit

複製鏈接