Wasabi Protocol遭攻击 480万美元用户资金被盗
4月底,去中心化金融协议Wasabi Protocol曝出重大安全事件,引起加密社区广泛关注。据官方复盘,攻击者通过AWS基础设施漏洞获取了智能合约私钥,成功从EVM生态中的合约盗走了约480万美元用户资金,同时挪用了项目金库约90万美元。这起事件不仅直接冲击了用户资产安全,也再一次敲响了DeFi项目在云端部署和合约安全管理上的警钟。
事件具体细节显示,攻击者利用Wasabi在AWS上的基础设施漏洞,绕过了常规安全防护,直接控制了部分智能合约操作权限。受影响范围主要涉及Ethereum主网及其衍生链,如Base、Blast和Berachain上部分金库。值得注意的是,Solana链上的部署和Prop AMM则未受影响,这表明攻击主要针对EVM生态的智能合约架构。此外,事件发生后,Wasabi在短时间内封堵了漏洞,并于5月2日恢复了未受影响金库的提款功能,同时聘请了安全追踪公司Zeroshadow对被盗资金进行跟踪,以防止资金被进一步转移或套现。
从原因分析来看,此次攻击暴露了DeFi项目在基础设施与合约安全上的多重风险。一方面,项目对云服务平台的依赖使得潜在攻击面扩大,单一节点或配置错误可能导致关键私钥泄露;另一方面,EVM生态的智能合约在权限管理上存在集中控制风险,攻击者一旦获取控制权,便可直接动用用户和项目资金。一个明显变化是,DeFi团队正在更加重视多层次安全防护,包括硬件安全模块(HSM)、多重签名机制以及第三方安全审计,以减少类似事件的发生概率。
放眼整个行业,类似安全事件并非孤例。过去一年中,包括Euler、Beefy和Wormhole在内的多个DeFi项目均曾遭遇资金被盗或合约漏洞攻击,损失金额从数十万美元到上亿美元不等。这类事件提醒整个生态,技术创新的同时必须同步加强安全管理策略。例如,有些项目选择将关键操作权限分散到多方签名或链下冷存储,以降低单点故障风险;也有团队引入自动化监控与紧急冻结机制,以在攻击发生初期即限制损失。这一系列实践表明,DeFi安全正逐步从事后响应向事前预防转变。
总体来看,Wasabi Protocol此次安全事件不仅暴露了项目在基础设施与智能合约安全上的薄弱环节,也推动整个行业反思云端部署和权限管理策略的重要性。未来,随着DeFi生态的持续发展,类似攻击的风险仍然存在,但通过多层次安全防护、专业追踪团队和及时漏洞修复,用户资产保护能力将逐步增强。预计行业将在此类事件后加快安全标准化建设,并推动更成熟的风险管理体系形成,为DeFi项目的可持续发展奠定基础。