DeFi デリバティブの協議体 Wasabi Protocol は 4 月 30 日の午後、管理者の秘密鍵が漏えいする攻撃に遭いました。オンチェーンのセキュリティ会社 Blockaid と CertiK Alert の監視によると、攻撃者は Wasabi の Deployer EOA を通じて ADMIN_ROLE を自分の helper コントラクトに付与した後、UUPS のアップグレード用代理メカニズムを介して、perp vaults と LongPool を悪意ある実装版にアップグレードし、コントラクトが管理するトークン残高を直接抜き取ったとのことです。CertiK は損失を約 290 万ドルと見積もっており、攻撃の範囲はイーサリアムのメインネットと Base の二つのチェーンにまたがっています。Wasabi 公式は台湾時間の午後 6:33 に、コントラクトの相互作用を停止すると発表しました。
攻撃経路:デプロイヤーの秘密鍵が漏えい → ADMIN_ROLE が付与 → UUPS が悪意あるコントラクトにアップグレード
4/30 台湾時間の午後 4:30 頃、Blockaid は X 上で Wasabi Protocol に「進行中の管理者秘密鍵侵害攻撃」(ongoing admin-key compromise exploit)が発生していると明らかにしました。完全な攻撃チェーンは 3 ステップで構成されています。まず Wasabi のデプロイヤー ウォレット(Deployer EOA)が侵害され、攻撃者がそのウォレットの秘密鍵を取得します。次に攻撃者はそのウォレットで grantRole 操作を実行し、自分が制御する helper コントラクトに ADMIN_ROLE を付与します。最後に helper コントラクトは UUPS のアップグレード機構を利用し、perp vaults(無期限コントラクトの保管庫)と LongPool(ロング側の資金プール)の 2 つの中核コントラクトの実装(implementation)を悪意あるバージョンに置き換え、後者がコントラクト管理のトークン残高を直接抜き取ります。
UUPS(Universal Upgradeable Proxy Standard)は OpenZeppelin が推進する、アップグレード可能なスマートコントラクトの方式で、アップグレードのロジックは「実装コントラクト」に置かれ、代理層ではありません。利点はガスコストがより低く、コントラクトの構造がより簡潔な点です。一方で代償は、「アップグレードを実行できるロール」が一度侵害されると、攻撃者がガバナンスの手順やタイムロックを経ることなく、コントラクト全体を任意のロジックに直接置き換えられることです。今回の事件は、まさに UUPS モードが管理者の秘密鍵漏えいによって悪用された典型例です。
CertiK は 290 万ドルの損失を見積もり、影響はイーサリアムと Base の双方向のチェーン
CertiK Alert は 4/30 午後 4:30 に同期して確認:「攻撃者は Wasabi のデプロイヤーウォレットから権限のある Role を付与されており、当該ウォレットが侵害されたことを示している」と述べました。CertiK はオンチェーンデータを引用し、損失を約 290 万ドルと見積もっています。攻撃はイーサリアムのメインネットと Base の 2 つのチェーンで発生しており、影響を受ける中核コントラクトは perp vaults と LongPool の 2 つのプロダクトラインです。前者は無期限コントラクトのポジションに用いる担保の保管、後者はロング側の資金プールを担います。
事件規模は、4 月初旬に Solana で Drift Protocol が受けた 2.85 億ドルの駭害に比べれば小さいものの、本質的に攻撃タイプは同じです。つまり、管理者の秘密鍵漏えいとそれにともなう高権限ロールの悪用です。DeFi エコシステムにとって、この種の「秘密鍵タイプ」の攻撃が繰り返し起きることは、スマートコントラクトのコードそのものの正確さだけでは、コードの外側で機構を迂回できる特権アカウントを守れないことを意味します。
Wasabi はコントラクトの相互作用を停止、Virtuals Protocol は証拠金の預け入れを凍結
Wasabi Protocol 公式は 4/30 午後 6:33 に X で公告を出しました:「問題を認識しており、現在積極的に調査しています。予防措置として、後続の通知があるまで Wasabi のコントラクトとの相互作用を行わないでください。」公式の公告では、Blockaid と CertiK が説明した攻撃の詳細を直接は確認せず、追加の情報を追って補足するだけだとしています。
下流で影響を受けるプロジェクトのうち、特に注目すべきは Virtuals Protocol です。過去 1 年で人気を集めた AI Agent のプロトコル生態系の一部のプロダクト機能は、Wasabi が提供する証拠金の預け入れサービスに依存しています。Virtuals は 4/30 午後 5:07 に X で、自身の安全性に問題がないと表明し、Wasabi がサポートする証拠金の預け入れ機能を直ちに凍結しました。その他の取引、引き出し、agent 操作は引き続き通常どおり維持されており、またユーザーに対して、事件の解決まで Wasabi 関連の取引に署名しないよう注意を促しています。
DeFi 投資家にとって、こうした事件からの注意は一貫しています。つまり、プロトコル同士が組み合わされ、上流サービスのレバレッジまたはデリバティブ機能が使われる場合、上流基盤の秘密鍵の安全が、すべての下流ユーザーが共通して負うリスクになり、自分が直接やり取りしているプロトコルが安全かどうかとは無関係になる、ということです。
この記事 Wasabi が 290 万ドルに被害:管理者の秘密鍵漏えい、コントラクトが悪意あるバージョンに改ざん 最初に出現したのは 鏈新聞 ABMedia。
Related News
DeFiは分散型ですか?Andre Cronje:認めましょう、多くのプロトコルは改ざん可能なコードです
北朝鮮のハッカーは $6B 暗号を2017年以降に盗み、2026年の損失の76%
Aftermath Finance が攻撃を受け損失 114 万、Mysten Labs はユーザーに全額補償を提供
SWEAT 協議被盗 137.1 億トークン、契約を停止後にユーザー資金を完全に回復
a16z クリプト 研究レポート:AI エージェント DeFi 脆弱性悪用率が 70% に到達
