Wasabi подверглась взлому на 2,9 млн долларов: утечка ключа администратора, контракт был изменён на вредоносную версию

DeFi 衍生品協議 Wasabi Protocol 在 4 月 30 日下午遭遇管理员私钥泄露攻击。根据链上安全公司 Blockaid 与 CertiK Alert 监测，攻击者通过 Wasabi 的 Deployer EOA 把 ADMIN_ROLE 授权给自己的 helper 合约后，再通过 UUPS 可升级代理机制，将 perp vaults 与 LongPool 升级为恶意实现版本、直接抽走合约托管的代币余额。CertiK 初估损失约 2.9M美元，攻击范围横跨以太坊主网与 Base 双链。Wasabi 官方已于台灣時間下午 6:33 公告暂停合约互动。

攻击路径：部署者私钥失守 → ADMIN_ROLE 授权 → UUPS 升级为恶意合约

4/30 台灣时间下午 4:30 左右，Blockaid 在 X 上披露 Wasabi Protocol 出现“进行中的管理员私钥入侵攻击”（ongoing admin-key compromise exploit）。完整攻击链条由三步组成：先是 Wasabi 的部署者钱包（Deployer EOA）遭駭，攻击者取得该钱包私钥；接着攻击者用此钱包执行 grantRole 操作，把 ADMIN_ROLE 授权给自己控制的 helper 合约；最后 helper 合约利用 UUPS 升级机制，把 perp vaults（永续合约金库）与 LongPool（多头资金池）两个核心合约的实现（implementation）替换为恶意版本，后者直接抽走合约托管的代币余额。

UUPS（Universal Upgradeable Proxy Standard）是 OpenZeppelin 推广的可升级智能合约模式，升级逻辑放在“实现合约”而非代理层。优点是 gas 成本较低、合约结构较精简；代价是“能执行升级的角色”一旦被攻陷，攻击者可在不通过治理流程或时间锁的情况下，直接把整个合约替换为任意逻辑。这次事件正是 UUPS 模式遭管理员私钥泄露滥用的典型例子。

CertiK 估损 2.9M美元，影响以太坊与 Base 双链

CertiK Alert 在 4/30 下午 4:30 同步确认事件：“攻击者被 Wasabi 部署者钱包授予具特权的 Role，显示该钱包遭到入侵。”CertiK 引用链上资料估算损失约 2.9M美元。攻击发生在以太坊主网与 Base 两条链，受影响的核心合约是 perp vaults 与 LongPool 两条产品线——前者用于永续合约仓位的抵押品托管，后者承载多头资金池。

事件规模相比于 4 月初 Drift Protocol 在 Solana 遭駭的 285M美元小得多，但攻击类型本质相似——同样是管理员私钥泄露搭配高权限角色滥用。对 DeFi 生态而言，这类“私钥类”攻击重复出现意味着：智能合约代码本身的正确性，无法保护那些可在代码之外绕过机制的特权账户。

Wasabi 暂停合约互动、Virtuals Protocol 冻结保证金存款

Wasabi Protocol 官方于 4/30 下午 6:33 在 X 发出公告：“我们已注意到问题并正在积极调查。作为预防措施，请勿与 Wasabi 合约互动，直到后续通知。”官方在公告中并未直接确认 Blockaid 与 CertiK 描述的攻击细节，仅表示有更多信息将补充说明。

下游受影响项目中最值得注意的是 Virtuals Protocol——过去一年热门的 AI Agent 协议生态，部分产品功能仰赖 Wasabi 提供的保证金存款服务。Virtuals 于 4/30 下午 5:07 在 X 表态，自身安全完整无事，已立即冻结由 Wasabi 支持的保证金存款功能；其余交易、提领、agent 操作均维持正常运作，并提醒用户在事件解决前不要签署任何 Wasabi 相关交易。

对 DeFi 投资人而言，这类事件的提醒一致：当协议之间相互组合、使用上游服务的杠杆或衍生品功能时，上游基础设施的私钥安全会变成所有下游用户共同承担的风险，与自己直接互动的协议是否安全无关。

这篇文章 Wasabi 遭駭 2.9M美元：管理员私钥泄露、合约被改成恶意版本 最早出现在 鏈新闻 ABMedia。