核心摘要
- Wasabi Protocol 在以太坊和 Base 等四个区块链上因安全漏洞损失了逾 550 万美元。
- 此次攻击是由于持有管理权限的部署者钱包泄露,导致攻击者能够将协议合约升级为恶意版本。
- 该事件反映了 4 月份的整体趋势:尽管攻击次数减少,但针对 DeFi 基础设施的精准打击导致加密领域损失超过 6.3 亿美元。
返回
返回
Wasabi Protocol 因管理密钥泄露损失逾 500 万美元
DeFi 借贷平台 Wasabi Protocol 在攻击者入侵项目部署者钱包后损失了逾 550 万美元,其在 Ethereum、Base、Blast 和 Berachain 上的金库资金均被洗劫一空。此次攻击始于周二晚间,凸显了运营安全的严重失效,而非智能合约逻辑本身存在缺陷。
Wasabi Protocol 团队在一份声明中表示:“我们已意识到此问题并正在积极调查,”并敦促用户在进一步通知前不要与合约进行交互。根据链上安全公司 Blockaid 的说法,根本原因是名为 wasabideployer.eth 的单个外部拥有地址(EOA)泄露,该地址持有协议访问管理器的 ADMIN_ROLE(管理员角色)。这使得攻击者能够授予自己管理权限,并将协议金库升级为抽走用户资金的恶意实现版本。
对 Wasabi 的攻击是近期一系列高额盗窃案中的最新一起。根据 CertiK 的数据,4 月份加密领域总损失超过 6.3 亿美元,成为一年多来损失最惨重的月份。该月的特征是少数灾难性的多阶段攻击,包括 Kelp DAO 遭受的 2.93 亿美元攻击和 Drift Protocol 的 2.8 亿美元违约。这标志着与前几个月频繁但低价值的攻击相比,攻击策略发生了转变。
Chainalysis 安全解决方案负责人 Yaniv Nissenboim 告诉 Cointelegraph:“这些事件的共同点在于,资源充足的攻击者正在寻找利用链上协议与其所依赖的离线系统之间衔接处的新方法。”Wasabi 事件强调了这一趋势,展示了如果没有时间锁或多签治理保护,单个私钥泄露如何导致协议资产被彻底榨干。系统将此次盗窃视为所有者的合法升级,暴露了致命的单点故障。
本文仅供参考,不构成投资建议。
