DeFi无法停止流血，而Wasabi Protocol是最新发现原因的例子。

Wasabi Protocol是一个建立在以太坊和Base上的永续交易平台，周四因攻击者妥协了协议的部署密钥，损失约455万美元，安全公司Blockaid在一条X帖子中表示。

此次黑客攻击是本月至少发生的12起事件中造成超过6.05亿美元DeFi损失的最新案例。

这种机制是一个外部拥有的账户（EOA），名为wasabideployer.eth，在Wasabi的权限系统中拥有唯一的ADMIN_ROLE。

EOA是由私钥控制的钱包，而不是智能合约。持有密钥的人控制该钱包。一旦攻击者获得部署密钥的访问权限，他们就调用权限合约的grantRole方法，毫无延迟地赋予自己管理员权限。

他们的助手合约随后升级了Wasabi的永续金库和LongPool到恶意实现，从而抽走了余额，Blockaid表示。

该攻击依赖于UUPS可升级性，这是一种模式，其中智能合约可以在保持相同地址的情况下更换其底层代码。

UUPS被广泛使用，因为它允许开发者在不迁移用户的情况下修复漏洞。这也意味着如果攻击者控制了管理员权限，他们可以用任何他们想要的逻辑替换合约的逻辑，包括旨在盗取资金的代码。

Blockaid表示，Wasabi没有保护管理员角色的时间锁或多重签名。时间锁强制在宣布管理员操作和执行之间有一个延迟，让用户有时间反应。多重签名要求多个签署者批准更改。Wasabi两者皆无，导致一个密钥完全控制协议。

受影响的合约包括Wasabi在以太坊上的wWETH、sUSDC、wBITCOIN、wPEPE和Long Pool金库，以及其在Base上的sUSDC、wWETH、sBTC、sVIRTUAL、sAERO和sBRETT金库，Blockaid表示。

持有Wasabi LP代币的用户被敦促撤销对金库合约的任何活动授权，因为支持这些代币的基础资产要么已被抽走，要么仍然面临风险。

Wasabi的攻击与4月1日的Drift Protocol攻击密切相似，当时与朝鲜相关的攻击者利用妥协的管理员密钥从基于Solana的永续交易所中抽走2.85亿美元。

在那起事件中，攻击者也利用了一个没有治理时间锁的单密钥管理员设置，列出一个假代币作为抵押，并提高取款限额，以在大约12分钟内抽干真正的资产。

三周后，即4月19日，Kelp DAO损失了2.92亿美元，当时攻击者利用协议的LayerZero桥中的单验证器配置，释放了116,500个没有支持的rsETH，随后被用作向Aave借入真正以太的抵押。

2026年累积的DeFi损失总额现已超过7.7亿美元，涉及30多起报告的事件。单是4月份就占了这个数字的大部分。

本月小规模攻击还波及CoW Swap（120万美元）、Grinex（1374万美元）、Resolv Labs（2300万美元）、Volo Protocol（350万美元）等。

这些事件的共同点并不是新漏洞。每个事件都产生相同的事后分析语言，谈论经验教训，但下一个攻击通常在教训实施之前到来。

Wasabi尚未就该事件发表公开声明。