Wasabi Protocol遭駭客利用漏洞，跨四條鏈盜走550萬美元，管理員金鑰遭洩露暴露重大安全缺陷

Wasabi Protocol 遭受大規模駭客攻擊，在以太坊、Base、Blast 和 Berachain 四條區塊鏈上損失逾 550 萬美元。

此次漏洞利用源自安全弱點，但迄今為止的調查確認，此次攻擊並非由於協議本身智能合約代碼的任何缺陷所致。相反，此次駭客攻擊是由於部署者錢包遭到入侵，暴露了 DeFi 長期存在的弱點之一：對中心化治理的過度依賴。

安全分析師幾乎立即發現了此次事件，他們注意到攻擊速度極快，並在每條受支持的鏈上採用了一致的方法。此事件引起了加密貨幣社群成員的高度關注，他們將其視為非代碼漏洞如何造成嚴重破壞的典型案例。

攻擊利用管理員權限濫用手法

攻擊者以極為系統化的方式利用管理權限。他們首先入侵了控制一系列動態節點的主角色，而這些節點可由擁有相應訪問權限的人員創建。

利用此訪問權限，攻擊者調用 grantRole，立即賦予一個惡意的新合約管理員權限。此次操作的核心特點在於，由於系統允許在沒有任何時間鎖的情況下分配角色，因此繞過了所有延遲保護機制。

在獲得管理控制權後，攻擊者隨即部署了一個協調合約，依序為每個金庫調用策略存款功能。由於該合約已擁有管理員級別的權限，原本用於限制訪問的唯一管理員修飾符形同虛設。

攻擊者得以直接從金庫中提取資產，並將資金轉移到四條鏈上的外部擁有帳戶（EOA）。此次攻擊的速度與精準度表明，攻擊者已對系統架構及其漏洞了如指掌。

即時恢復措施停用遭入侵的訪問權限

隨後，團隊採取鏈上措施，迅速停用遭入侵密鑰的權限。所有重要角色（如 ADMIN，以及角色識別碼 100、101、102 和 103）均已從原始遭入侵的部署者錢包中移除。這徹底清除了攻擊者在協議上殘留的所有管理員訪問權限，從而封堵了這一具體的攻擊向量。

分析師表示，遭入侵的密鑰已無法再用於任何進一步的未授權操作，這是阻止此次事件的重要里程碑。然而，儘管訪問權限已恢復，被盜資金目前仍存放在攻擊者在各鏈上的錢包中，暫時無法追回。

協議用戶手中持有的 LP 代幣已形同廢紙，目前正等待補償計劃的公告。此次漏洞對用戶造成了巨大衝擊。由於金庫中的資產已被掏空，仍存放在用戶錢包中的流動性提供者（LP）份額代幣，至少在目前已喪失其價值。

Wasabi Protocol 團隊確認了此次事件，並表示調查正在進行中。在另行通知之前，強烈建議用戶避免使用任何 Wasabi 合約，以降低額外風險。SEAL 911 和 Blockaid 等安全公司正直接與協議團隊合作，以了解損失規模並制定補救措施。目前，社群正等待補償計劃的相關信息，這對於重建信任和幫助用戶挽回損失至關重要。