加密货币平台遭受重大安全漏洞，涉嫌内部利用造成数百万美元损失

DeFi 无法止血，而 Wasabi Protocol 是最新发现原因的人。

安全公司 Blockaid 在 X 帖子中表示，Wasabi Protocol 是一个基于以太坊和 Base 构建的永续合约交易平台，周四，在攻击者泄露该协议的部署者密钥后，该协议被盗走约 455 万美元。

这是一个月来发生的最新一起黑客事件，至少有 12 起事件造成 DeFi 损失超过 6.05 亿美元。

该机制是一个名为 wasabideployer.eth 的外部帐户 (EOA)，在 Wasabi 的权限系统中拥有唯一的 ADMIN_ROLE。

EOA 是由私钥控制的钱包，而不是智能合约。谁掌握了钥匙，谁就控制了钱包。一旦攻击者能够访问部署者密钥，他们就会在权限合约上调用 grantRole，以零延迟地授予自己管理员权限。

Blockaid 表示，他们的助手合约随后将 Wasabi 的 Perp 金库和 LongPool 升级为恶意实施，耗尽了余额。

该漏洞依赖于 UUPS 可升级性，在这种模式下，智能合约可以在保持相同地址的同时更换其底层代码。

UUPS 被广泛使用，因为它允许开发人员修复错误而无需迁移用户。这还意味着，如果攻击者控制了管理员权限，他们就可以用他们想要的任何内容替换合约的逻辑，包括旨在窃取资金的代码。

Blockaid 表示，Wasabi 没有时间锁或多重签名来保护管理员角色。时间锁强制在宣布管理操作和执行操作之间存在延迟，让用户有时间做出反应。多重签名需要多个签名者批准更改。芥末两者都没有，只留下一个密钥来完全控制协议。

🚨 Blockaid 的漏洞检测系统发现了以太坊和 Base 上 @wasabi_protocol 上持续存在的管理密钥泄露漏洞。 Wasabi：部署者 EOA 用于将 ADMIN_ROLE 授予攻击者助手合约，然后 UUPS 将 Perp 金库和 LongPool 升级为……——Blockaid (@blockaid_) 2026 年 4 月 30 日

根据 Blockaid 的数据，受影响的合约包括 Wasabi 在以太坊上的 wWETH、sUSDC、wBITCOIN、wPEPE 和 Long Pool 金库，以及 Base 上的 sUSDC、wWETH、sBTC、sVIRTUAL、sAERO 和 sBRETT 金库。

持有 Wasabi LP 代币的用户被敦促撤销对金库合约的任何主动批准，因为支持这些代币的基础资产要么已被耗尽，要么仍面临风险。

Wasabi 攻击与 4 月 1 日的 Drift Protocol 漏洞非常相似，当时与朝鲜有关的攻击者使用受损的管理密钥从基于 Solana 的永续交易所窃取了 2.85 亿美元。

在这种情况下，攻击者还利用了没有治理时间锁的单密钥管理设置，将假代币列为抵押品，并提高提款限额，在大约 12 分钟内耗尽真实资产。

三周后，即 4 月 19 日，Kelp DAO 损失了 2.92 亿美元，因为攻击者利用了协议 LayerZero 桥中的单验证者配置，释放了 116,500 个无支持的 rsETH，然后将其用作从 Aave 借用真实以太币的抵押品。

2026 年 DeFi 累计损失总额现已超过 7.7 亿美元，涉及 30 多起报告事件。仅四月份就占了这一数字的大部分。

本月较小的违规事件涉及 CoW Swap（120 万美元）、Grinex（1374 万美元）、Resolv Labs（2300 万美元）、Volo Protocol（350 万美元）等。

将它们联系在一起的并不是一个新的漏洞。每个事件都会产生相同的关于经验教训的事后分析语言，但下一个漏洞通常会在经验教训得到实施之前出现。

芥末尚未就该事件发表公开声明。