Thỏa thuận phái sinh DeFi Wasabi Protocol đã gặp phải cuộc tấn công rò rỉ khóa riêng của quản trị viên vào chiều ngày 30/4. Theo giám sát của công ty an ninh chuỗi Blockaid và CertiK Alert, kẻ tấn công đã thông qua hợp đồng helper của riêng mình sau khi nhận được quyền ADMIN_ROLE từ cơ chế Deployer EOA của Wasabi; tiếp đó, thông qua cơ chế proxy nâng cấp UUPS, kẻ tấn công nâng cấp perp vaults và LongPool lên phiên bản thực thi độc hại, rồi rút trực tiếp số dư token mà hợp đồng đang lưu ký. CertiK ước tính thiệt hại khoảng 2,9 triệu USD, phạm vi tấn công trải rộng trên hai chuỗi Ethereum mainnet và Base. Wasabi chính thức đã thông báo tạm dừng tương tác hợp đồng vào 6:33 chiều (giờ Đài Loan).
Đường đi nước bước tấn công: khóa riêng của triển khai bị lộ → cấp quyền ADMIN_ROLE → nâng cấp UUPS thành hợp đồng độc hại
Khoảng 4:30 chiều (giờ Đài Loan) ngày 30/4, Blockaid trên X đã tiết lộ Wasabi Protocol xuất hiện “cuộc tấn công xâm nhập khóa riêng quản trị viên đang diễn ra” (ongoing admin-key compromise exploit). Chuỗi tấn công hoàn chỉnh gồm ba bước: trước hết, ví người triển khai của Wasabi (Deployer EOA) bị xâm nhập, kẻ tấn công chiếm được khóa riêng của ví này; tiếp theo, kẻ tấn công dùng ví đó để thực hiện thao tác grantRole, cấp quyền ADMIN_ROLE cho hợp đồng helper do mình kiểm soát; cuối cùng, hợp đồng helper tận dụng cơ chế nâng cấp UUPS để thay thế phần implementation (thực thi) của hai hợp đồng cốt lõi perp vaults (kho tài sản thế chấp hợp đồng vĩnh viễn) và LongPool (bể tài sản cho vị thế long) bằng phiên bản độc hại, qua đó rút trực tiếp số dư token do hợp đồng lưu ký.
UUPS (Universal Upgradeable Proxy Standard) là mô hình hợp đồng thông minh nâng cấp được OpenZeppelin quảng bá, trong đó logic nâng cấp nằm ở “hợp đồng thực thi” chứ không nằm ở lớp proxy. Ưu điểm là chi phí gas thấp hơn, cấu trúc hợp đồng gọn gàng hơn; đổi lại là “vai trò có thể thực hiện nâng cấp” một khi bị chiếm đoạt thì kẻ tấn công có thể, mà không cần thông qua quy trình quản trị hay cơ chế time lock, thay thế toàn bộ hợp đồng bằng bất kỳ logic tùy ý nào. Sự việc lần này chính là ví dụ điển hình về việc mô hình UUPS bị lạm dụng do rò rỉ khóa riêng quản trị viên.
CertiK ước tính thiệt hại 2,9 triệu USD, ảnh hưởng trên hai chuỗi Ethereum và Base
CertiK Alert vào 4:30 chiều (ngày 30/4) đã đồng bộ xác nhận sự kiện: “Kẻ tấn công được Wasabi cấp cho một Role đặc quyền thông qua ví triển khai, cho thấy ví này đã bị xâm nhập.” CertiK dẫn dữ liệu on-chain để ước tính thiệt hại khoảng 2,9 triệu USD. Cuộc tấn công xảy ra trên Ethereum mainnet và Base, hai hợp đồng cốt lõi bị ảnh hưởng là perp vaults và LongPool thuộc hai mảng sản phẩm—trong đó, perp vaults dùng để lưu ký tài sản thế chấp cho vị thế hợp đồng vĩnh viễn, còn LongPool vận hành bể tài sản cho vị thế long.
Quy mô vụ việc so với vụ hack Drift Protocol hồi đầu tháng 4 trên Solana (2,85 trăm triệu USD) thì nhỏ hơn nhiều, nhưng loại hình tấn công về bản chất là tương tự—cũng là rò rỉ khóa riêng quản trị viên đi kèm việc lạm dụng các role có đặc quyền cao. Đối với hệ sinh thái DeFi, việc các cuộc tấn công “dạng khóa riêng” lặp lại cho thấy: tính đúng đắn của mã chương trình hợp đồng thông minh không thể bảo vệ những tài khoản đặc quyền có thể lách cơ chế bằng con đường ngoài mã.
Wasabi tạm dừng tương tác hợp đồng, Virtuals Protocol đóng băng tiền gửi ký quỹ
Wasabi Protocol chính thức vào 6:33 chiều (ngày 30/4) trên X đã đưa ra thông báo: “Chúng tôi đã nhận thấy vấn đề và đang tích cực điều tra. Như một biện pháp phòng ngừa, xin đừng tương tác với các hợp đồng của Wasabi cho đến khi có thông báo tiếp theo.” Trong thông báo, phía dự án không xác nhận trực tiếp chi tiết tấn công như Blockaid và CertiK mô tả, chỉ cho biết sẽ bổ sung thêm thông tin.
Trong các dự án bị ảnh hưởng ở lớp dưới, đáng chú ý nhất là Virtuals Protocol—hệ sinh thái giao thức AI Agent từng rất hot trong năm qua, trong đó một số tính năng sản phẩm dựa vào dịch vụ ký quỹ do Wasabi cung cấp. Virtuals vào 5:07 chiều (ngày 30/4) trên X cho biết bản thân an toàn hoàn toàn, và ngay lập tức đóng băng tính năng gửi ký quỹ được Wasabi hỗ trợ; các giao dịch còn lại, rút tiền và thao tác agent vẫn duy trì vận hành bình thường, đồng thời nhắc người dùng không ký bất kỳ giao dịch liên quan đến Wasabi nào cho đến khi sự cố được giải quyết.
Với nhà đầu tư DeFi, cảnh báo cho sự việc kiểu này cũng giống nhau: khi các giao thức được “ghép nối” với nhau, hoặc khi sử dụng chức năng đòn bẩy/ phái sinh của dịch vụ upstream, thì bảo mật khóa riêng của hạ tầng upstream sẽ trở thành rủi ro mà mọi người dùng downstream cùng gánh chịu, bất kể hợp đồng mà họ tương tác trực tiếp có an toàn hay không.
Bài viết Wasabi bị hack 2,9 triệu USD: rò rỉ khóa riêng quản trị viên, hợp đồng bị thay thành phiên bản độc hại lần đầu xuất hiện trên 鏈新聞 ABMedia.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
