Wasabi Protocol漏洞攻击横跨四条链榨取550万美元，受损管理员密钥暴露严重安全缺陷

Wasabi Protocol遭受大规模黑客攻击，在四条区块链（Ethereum、Base、Blast和Berachain）上损失超过550万美元。

此次漏洞利用源于安全弱点，但迄今为止的调查证实，此次攻击并非由于协议自身智能合约代码的漏洞所致。相反，此次黑客攻击是由于部署者钱包遭到入侵，暴露了DeFi长期存在的弱点之一：过度依赖中心化治理。

安全分析师几乎立即发现了这一事件，他们注意到攻击速度很快，并在每条受支持的链上采用了一致的方法。此事件引起了加密社区成员的极大关注，他们将其视为非代码漏洞如何造成严重破坏的典型案例。

攻击利用管理员权限滥用

此次攻击以非常系统化的方式利用了管理权限。攻击者首先入侵了主角色，该角色控制着一系列可由有权限者创建的动态节点。

利用此访问权限，攻击者调用了grantRole，立即赋予一个恶意的新合约管理员权限。此操作的核心特点是绕过了所有延迟保护，因为系统允许在没有任何时间锁的情况下进行角色分配。

获得管理控制权后，攻击者随即部署了一个编排合约，该合约依次为每个金库调用策略存款。由于合约现在拥有管理员级别的权限，原本用于限制访问的唯一管理员修饰符变得无效。

这使攻击者得以直接从金库中提取资产，将资金转移到四条链上的EOA中。此次攻击的速度和精准度表明，攻击者对系统架构及其漏洞已相当熟悉。

立即采取恢复措施以禁用被入侵的访问权限

随后，链上采取了相应措施，迅速禁用了被入侵密钥的权限。所有重要角色（如ADMIN，以及角色标识符100、101、102和103）均已从原始被入侵的部署者钱包中移除。这彻底消除了攻击者在协议上的任何剩余管理员访问权限。因此，此次漏洞封堵了特定的攻击向量。

分析师表示，被入侵的密钥不再能用于任何进一步的未授权操作，这是阻止此次事件的重要里程碑。然而，尽管访问权限已恢复，被盗资金仍留在这些链上攻击者的钱包中，目前没有任何追回选项。

该协议的用户持有毫无价值的LP代币，目前正在等待补偿计划的公告。此次漏洞对用户造成了巨大影响。在此情况下，仍存放在用户钱包中的流动性提供者（LP）份额代币，至少在目前情况下已失去价值，因为金库所持资产已被提空。

Wasabi Protocol团队确认了此次事件，并表示调查正在进行中。在另行通知之前，强烈建议用户避免使用任何Wasabi合约，以降低额外风险。SEAL 911和Blockaid等安全公司正在直接与协议团队合作，了解损失程度并制定补救措施。目前，社区正在等待补偿计划的相关信息，这对于重建信任和帮助用户弥补损失至关重要。

Virtuals Protocol冻结与Wasabi相关的功能作为回应

此次漏洞攻击已多次波及相关联平台，其中包括将Wasabi基础设施用于某些系统的Virtuals Protocol。

Virtuals Protocol迅速作出回应，冻结了与Wasabi相关的保证金存款。他们采取了预防措施，确保其核心运营、交易、提款和代理功能仍正常运作。

由于情况仍在持续发展，用户被警告切勿签署任何与Wasabi相关的交易。团队强调，这些限制措施是临时性的，将持续实施，直到他们能够确保上游系统的完整性为止。

ZachXBT抨击缺乏基本安全保护措施

此次漏洞引发了关于DeFi安全实践成熟度的新讨论，以及对管理控制使用的持续质疑。区块链分析专家ZachXBT质疑为何单个外部拥有账户（EOA）在没有多重签名等基本安全措施且无法设置时间锁的情况下，被赋予如此广泛的控制权。

他的批评反映了行业内更广泛的趋势：智能合约通常接受广泛的审计，但日常安全和治理结构往往仍是软目标。

四月份非代码漏洞攻击持续增加

Wasabi事件是我们在整个四月份看到不断升级的现象的典型案例：重大漏洞的出现并非源于智能合约缺陷，而是管理安全方面的问题。

在此情况下，合约逻辑按设计正常运行。信任模型失败了，就是这么简单；在此情况下，S1使用单一管理员密钥控制上游，没有任何额外的保护层。

这一模式表明威胁格局正在发生变化。攻击者越来越少尝试攻击难以入侵的代码，而是更倾向于通过关注治理和运营漏洞来走阻力最小的路径。

对开发者和协议而言，重要启示在于安全不仅仅是代码审计，还需要确保严格的密钥管理政策、访问控制和故障安全机制。

随着调查持续深入和更多细节浮出水面，Wasabi漏洞事件很可能成为去中心化金融所面临日益增加风险的重要案例。

免责声明：本文不构成交易或投资建议。在购买任何加密货币或投资任何服务之前，请务必自行研究。

关注我们的Twitter @nulltxnews ，随时获取最新的加密货币、NFT、AI、网络安全、分布式计算和 元宇宙资讯！