Wasabi 黑客攻击:5M$ 被盗,BLAST 网络遭受损失
目录
DeFi 衍生品平台 Wasabi Protocol 遭受跨链攻击,黑客窃取了价值超过 500 万美元的资产。PeckShield 确认,该事件在 Ethereum、Base、Berachain 和 BLAST 详细分析 网络中扩散。Blockaid 和 CertiK 表示,攻击者使用窃取的管理员密钥入侵 Wasabi 的部署者钱包,升级了核心系统并清空了资金。从而 LongPool、ShortPool 和 Vault 合约的流动性池成为目标。攻击者的 Tornado Cash 关联账户获得了管理员角色访问权限。
Wasabi 攻击的技术细节
攻击者通过夺取管理员密钥控制了部署者钱包。通过“升级”合约添加后门,并立即清空流动性。通过跨链桥转移到 Ethereum,难以追踪。这展示了智能合约权限(delegatecall)的滥用——对协议开发者来说是关键警告。
BLAST 网络的影响和风险
BLAST Layer-2 中的 LP 代币受到影响;Blockaid 报告称,所有 Wasabi/Spicy LP 代币都处于风险中。底层资产已被清空,剩余的仍危险。BLAST 期货 投资者应警惕波动性。Virtuals Protocol 冻结了保证金存款作为预防措施,并声明其系统安全。
被盗资产和黑客行动
| 资产 | 金额(估计) | 目标 |
|---|---|---|
| WETH | 高 | 转换为 ETH |
| PEPE | 中 | 桥接 |
| MOG | 中 | 分散 |
| USDC | 低 | ETH 桥 |
| ZYN, REKT, cbBTC, AERO, VIRTUAL | 各种 | Tornado Cash |
根据 Cyvers 报告,黑客将资产转换为 ETH 并分散到 Ethereum 地址。总损失 5M$+。
PeckShield、CertiK 和 BlockSec 报告
- PeckShield: 确认跨链扩散,Blast 中 LP 抽干。
- Blockaid: LP 代币“高风险”,避免互动。
- CertiK: 管理员密钥泄露,升级漏洞利用。
- BlockSec & Cyvers: 追踪资金流,Tornado 关联。
Wasabi 团队在 X 上启动调查,并实施互动禁令。
DeFi 中 BLAST 和类似事件的教训
这次黑客攻击反映了 DeFi 的黑暗时期,以 Kelp DAO 的 292M$ 损失为顶峰(总损失 600M$+)。AI 支持的攻击正在增加;协议应添加 multisig、time-lock 和 RLN(rate-limited nonce)等层。对于 BLAST 投资者:ETH 详细分析 相关性高,监控流动性风险。行业正转向紧急审计和升级协议。