تكشف مشتقات DeFi عن بروتوكول Wasabi تعرض لهجوم تسرب مفاتيح إدارية خاصة في 30 أبريل بعد الظهر. وبحسب مراقبة شركة أمن سلاسل الكتل Blockaid وCertiK Alert، فقد قام المهاجمون أولاً بمنح صلاحية ADMIN_ROLE عبر عقدهم المساعد باستخدام عقد Deployer EOA الخاص بـ Wasabi، وبعد ذلك عبر آلية الوكلاء القابلة للترقية وفق معيار UUPS، قاموا بترقية perp vaults وLongPool إلى إصدارات تنفيذية خبيثة، ما أتاح لهم سحب أرصدة رموز الحسابات المُدارة مباشرة داخل العقود. وقدّر CertiK الخسائر بنحو 2.9 مليون دولار، ويغطي نطاق الهجوم سلسلتي Ethereum mainnet وBase. وأعلن بروتوكول Wasabi الرسمي في تمام الساعة 6:33 مساءً بتوقيت تايوان إيقاف تفاعل العقود مؤقتاً.
مسار الهجوم: تسرب مفتاح الموقّع الخاص للمُنشئ → منح ADMIN_ROLE → ترقية عبر UUPS إلى عقد خبيث
في حوالي الساعة 4:30 مساءً بتوقيت تايوان في 4/30، كشف Blockaid على X عن أن بروتوكول Wasabi قد شهد «هجوماً جارياً لاختراق مفتاح إداري خاص» (ongoing admin-key compromise exploit). ويتألف مسار الهجوم الكامل من ثلاث خطوات: أولاً تعرضت محفظة مُنشئ Wasabi (Deployer EOA) للاختراق، وحصل المهاجمون على مفتاحها الخاص؛ ثم استخدم المهاجمون هذه المحفظة لتنفيذ عملية grantRole، ومنح ADMIN_ROLE إلى عقد المساعد الذي يتحكمون به؛ وأخيراً استخدم عقد المساعد آلية UUPS للترقية لاستبدال تنفيذ (implementation) عقدين رئيسيين من perp vaults (خزائن عقود الدوام/العقود الدائمة) وLongPool (مجمع رؤوس أموال المراكز الطويلة) بنسخ خبيثة، حيث يسحب اللاحق مباشرة أرصدة الرموز المحتفظ بها عبر العقود.
يُعد UUPS (Universal Upgradeable Proxy Standard) نموذجاً للعقود الذكية القابلة للترقية الذي يروّج له OpenZeppelin، وتُوضع منطق الترقيات في «عقد التنفيذ» وليس في طبقة الوكيل. ومن مزاياه انخفاض كلفة الغاز وبنية تعاقدية أكثر اختصاراً؛ أما التكلفة فهي أن «الدور القادر على تنفيذ الترقيات» بمجرد اختراقه، يمكن للمهاجم استبدال العقد بالكامل بأي منطق دون المرور بإجراءات الحوكمة أو آليات قفل الوقت. وتُعد هذه الحادثة مثالاً نموذجياً على إساءة استخدام التسرب لمفاتيح إدارية خاصة في وضع UUPS.
يُقدّر CertiK الخسائر بنحو 2.9 مليون دولار، مع تأثير على سلسلتي Ethereum وBase
أكدت CertiK Alert في الساعة 4:30 مساءً من يوم 4/30 بالتزامن أن «المهاجم حصل على دور ذي امتيازات من خلال محفظة مُنشئ Wasabi»، ما يشير إلى اختراق تلك المحفظة. واستشهد CertiK ببيانات على السلسلة لتقدير خسائر تقارب 2.9 مليون دولار. وقع الهجوم على سلسلتي Ethereum mainnet وBase، وكانت العقود الأساسية المتأثرة هي perp vaults وLongPool ضمن خطي المنتجات: الأول مخصص لحفظ الضمانات في مراكز العقود الدائمة، والثاني يستضيف مجمعاً للتمويل الطويل.
على الرغم من أن حجم الحادثة أقل بكثير من 285 مليون دولار التي تعرضت لها Drift Protocol في بداية أبريل على Solana، فإن نوع الهجوم جوهرياً متشابه—فالأمر نفسه يتمثل في تسرب مفتاح إداري خاص مقروناً بإساءة استخدام دور عالي الصلاحيات. وبالنسبة إلى نظام DeFi البيئي، فإن تكرار هجمات «نوع المفاتيح الخاصة» يعني أن صحة كود برنامج العقود الذكية لا يمكن أن تحمي الحسابات ذات الامتيازات التي يمكنها الالتفاف على الآليات من خارج الكود.
Wasabi توقف تفاعل العقود، وVirtuals Protocol تجمد الودائع المقدمة كضمانات
أصدر بروتوكول Wasabi الرسمي في الساعة 6:33 مساءً في 4/30 على X إعلاناً جاء فيه: «لقد لاحظنا المشكلة ونقوم بالتحقيق بشكل نشط. كتدبير وقائي، يُرجى عدم التفاعل مع عقود Wasabi حتى إشعار لاحق». ولم تؤكد الجهة الرسمية بشكل مباشر تفاصيل الهجوم التي وصفها Blockaid وCertiK، واكتفت بالقول إن معلومات إضافية سيتم استكمالها.
من بين المشاريع المتأثرة في المنبع، الأبرز هو Virtuals Protocol—وهو نظام بيئي لاتفاقية AI Agent كان شائعاً خلال العام الماضي، وتعتمد بعض وظائف المنتج على خدمة إيداع الضمانات التي يوفرها Wasabi. وفي الساعة 5:07 مساءً في 4/30، أعلنت Virtuals على X أنها لا تزال آمنة بالكامل، وأنها جمدت فوراً ميزة إيداع الضمانات المدعومة من Wasabi؛ كما ظلت بقية العمليات مثل المعاملات والسحب وتشغيل الـagent تعمل بشكل طبيعي، مع التنبيه للمستخدمين بعدم توقيع أي معاملات ذات صلة بـ Wasabi حتى يتم حل الحادث.
وبالنسبة إلى مستثمري DeFi، فإن الرسالة من هذا النوع من الأحداث تتوافق أيضاً: عندما يتم تركيب البروتوكولات فيما بينها، وعند استخدام الرافعة أو وظائف المشتقات عبر خدمات من المنبع، فإن أمان المفاتيح الخاصة للبنية التحتية في المنبع يصبح مخاطر يتحملها جميع المستخدمين في المنابع/المجالات التابعة، بغض النظر عما إذا كانت البروتوكولات التي تتفاعل معها مباشرة آمنة أم لا.
هذه المقالة: هُوجم Wasabi وخسائر 2.9 مليون دولار: تسرب مفتاح إداري خاص، وتم تعديل العقد إلى نسخة خبيثة ظهرت لأول مرة على 链新闻 ABMedia.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
