Wasabi 遭駭 550 萬美元：管理員私鑰外洩、合約被改成惡意版本

DeFi 衍生品協議 Wasabi Protocol 在 4 月 30 日下午遭遇管理員私鑰外洩攻擊。根據鏈上資安公司 Blockaid、CertiK Alert 與 PeckShield 監測，攻擊者透過 Wasabi 的 Deployer EOA 把 ADMIN_ROLE 授權給自己的 helper 合約後，再透過 UUPS 可升級代理機制，將 perp vaults 與 LongPool 升級為惡意實作版本、直接抽走合約託管的代幣餘額。PeckShield 於台灣時間 19:10 更新估損約 550 萬美元，攻擊範圍橫跨以太坊主網、Base、BLAST 與 Berachain 四條鏈，所有部署皆受影響。Wasabi 官方已於台灣時間下午 6:33 公告暫停合約互動。

攻擊路徑：部署者私鑰失守 → ADMIN_ROLE 授權 → UUPS 升級為惡意合約

4/30 台灣時間下午 4:30 左右，Blockaid 在 X 上揭露 Wasabi Protocol 出現「進行中的管理員私鑰入侵攻擊」（ongoing admin-key compromise exploit）。完整攻擊鏈條由三步組成：先是 Wasabi 的部署者錢包（Deployer EOA）遭駭，攻擊者取得該錢包私鑰；接著攻擊者用此錢包執行 grantRole 操作，把 ADMIN_ROLE 授權給自己控制的 helper 合約；最後 helper 合約利用 UUPS 升級機制，把 perp vaults（永續合約金庫）與 LongPool（多頭資金池）兩個核心合約的實作（implementation）替換為惡意版本，後者直接抽走合約託管的代幣餘額。

UUPS（Universal Upgradeable Proxy Standard）是 OpenZeppelin 推廣的可升級智能合約模式，升級邏輯放在「實作合約」而非代理層。優點是 gas 成本較低、合約結構較精簡；代價是「能執行升級的角色」一旦被攻陷，攻擊者可在不通過治理流程或時間鎖的情況下，直接把整個合約替換為任意邏輯。這次事件正是 UUPS 模式遭管理員私鑰外洩濫用的典型範例。

廣告 - 內文未完請往下捲動

估損 550 萬美元，影響以太坊、Base、BLAST 與 Berachain 四鏈

事件初期，CertiK Alert 在 4/30 下午 4:30 確認攻擊：「攻擊者被 Wasabi 部署者錢包授予具特權的 Role，顯示該錢包遭到入侵。」當時 CertiK 估算被抽走金額約 290 萬美元。資安公司 PeckShield 隨後於 19:10 進一步揭露—影響範圍不只前期 Blockaid 描述的以太坊與 Base 雙鏈，還涵蓋 BLAST 與 Berachain，全網損失上修為約 550 萬美元。受影響核心合約為 perp vaults 與 LongPool 兩條產品線（前者用於永續合約倉位的擔保品託管，後者承載多頭資金池）。

事件規模相比於 4 月初 Drift Protocol 在 Solana 遭駭的 2.85 億美元小得多，但攻擊類型本質相似—同樣是管理員私鑰外洩搭配高權限角色濫用。對 DeFi 生態而言，這類「私鑰類」攻擊重複出現意味著：智能合約程式碼本身的正確性，無法保護那些可在程式碼之外繞過機制的特權帳戶。

Wasabi 暫停合約、Virtuals 凍結保證金、Berachain 暫停獎勵金庫

Wasabi Protocol 官方於 4/30 下午 6:33 在 X 發出公告：「我們已注意到問題並正在積極調查。作為預防措施，請勿與 Wasabi 合約互動，直到後續通知。」官方在公告中並未直接確認 Blockaid、CertiK 與 PeckShield 描述的攻擊細節，僅表示有更多資訊將補充說明。

Berachain Foundation 於下午 6:28 在 X 發出更明確的警告，證實「Wasabi 在所有部署鏈包含 Berachain 都已遭駭」，並估算 Berachain 鏈上用戶在 Wasabi 的資金風險約 5 萬美元。Foundation 同步暫停 Berachain 上的 Wasabi 獎勵金庫（reward vaults），並要求用戶立刻提領在 Wasabi 內的資金、撤銷對 Wasabi 合約的授權。

下游受影響專案中最值得注意的是 Virtuals Protocol—過去一年熱門的 AI Agent 協議生態，部分產品功能仰賴 Wasabi 提供的保證金存款服務。Virtuals 於 4/30 下午 5:07 表態，自身安全完整無事，已即刻凍結由 Wasabi 支援的保證金存款功能；其餘交易、提領、agent 操作均維持正常運作，並提醒用戶在事件解決前不要簽署任何 Wasabi 相關交易。

對 DeFi 投資人而言，這類事件的提醒一致：當協議之間互相組合、使用上游服務的槓桿或衍生品功能時，上游基礎設施的私鑰安全會變成所有下游用戶共同承擔的風險，與自己直接互動的協議是否安全無關。

DeFiVirtualsWasabi Protocol資訊安全

衍伸閱讀

• Ethereum 重磅攜手 Virtuals！推出以太坊上 AI 智能合約審計代理 IRIS，收益超過 500 倍？
• 持有 Virtuals 收到的空投該不該賣？一文帶你了解 Base 鏈 AI 代理都在做什麼