Wasabi協議漏洞導致多條區塊鏈損失超過5萬美元，疑似管理員金鑰洩露

Web3 安全事件已造成影響 芥末協議 據報道，多個區塊鏈上的鏈上活動顯示，包括以太坊、Base、Berachain 和 Blast 在內的多個網路損失超過 5 萬美元。 Web3 安全服務提供者 PeckShield。 

安全監控公司 Phalcon 提供的初步分析表明，先前透過 Tornado Cash 獲得資金的帳戶後來被分配了 ADMIN_ROLE 相關的權限，並參與了涉及​​ WasabiLongPool、WasabiShortPool 和 WasabiVault 合約的資金流動。該分析結果已公開，並呼籲就資金轉移和管理角色變更事宜進行進一步澄清。

另外，區塊鏈安全平台 Blockaid 報告稱，部署者外部擁有的帳戶被用來授予攻擊者關聯的合約管理權限，然後該合約透過 UUPS 機制執行升級操作，將金庫和永續池實作替換為惡意版本，從而耗盡用戶餘額。

Blockaid進一步評估認為，所有受影響金庫發行的Wasabi及相關流動性提供者共享代幣應視為已遭洩露，因為在部署密鑰仍然有效的情況下，底層抵押品已被盜取或面臨風險。報告指出，雖然代幣餘額可能仍顯示名義價值，但實際贖回價值實際上已降至零或正在迅速下降。根據安全評估，受影響的合約包括以太坊上的多個金庫，例如wWETH、sUSDC、wBITCOIN和wPEPE，以及Base上的sUSDC、wWETH、sBTC、sVIRTUAL、sAERO和sBRETT金庫。

鏈上分析師 Cos 對該協議的控制結構表示擔憂，估計損失超過 4.5 萬美元，並指出一個外部帳戶似乎控制著多個可升級的金庫，而這些金庫缺乏多重簽名保護、時間鎖定機製或基於 DAO 的監督。獨立調查員 ZachXBT 也對缺乏標準安全保障措施提出了質疑，並暗示洩漏的私鑰可能是攻擊的起因。

漏洞利用引發Wasabi合作夥伴網路調查及預防措施

針對此事件，Wasabi Protocol 表示正在進行調查，並建議用戶在另行通知前不要與其合約進行任何互動，並承諾在獲得更多資訊後會發布更多更新。

受影響的網路之一 Berachain 也發布警告，建議用戶立即提取資金，並估計其網路上約有 50,000 萬美元的用戶資金可能受到影響。使用者被引導使用 revoke.cash 撤銷權限，同時獎勵庫的運作也作為預防措施暫時停止。

Virtuals Protocol 單獨聲明，其自身系統仍然安全，但確認已暫停與 Wasabi 基礎設施整合的保證金存款，作為預防措施。

Wasabi 流動性提供者代幣持有者被普遍建議撤銷與金庫合約相關的任何有效批准，因為支持這些工具的抵押品已被耗盡或仍處於風險之中。

Wasabi Protocol 是一個基於以太坊和 Base 的永續合約交易平台，提供槓桿交易、代幣互換和收益功能，槓桿最高可達 20 倍。該協議的設計理念是，槓桿頭寸由託管的底層資產而非合成資產支撐，據報道，ETH 頭寸由系統內實際持有的 ETH 進行抵押。