Wasabi协议因管理员密钥泄露损失约455万美元

币界网消息，Wasabi协议在周四因攻击者泄露了协议的部署者密钥而损失约455万美元。这起黑客事件是本月导致超过6.05亿美元DeFi损失的最新案例，涉及至少12起事件。安全公司Blockaid表示，攻击者利用了一个名为wasabideployer.ETH的外部拥有账户（EOA），该账户在Wasabi的权限系统中拥有唯一的管理员角色。攻击者在获得部署者密钥后，立即调用权限合约中的grantrole，将管理员权限授予自己。此次攻击利用了UUPS升级模式，允许智能合约在保持相同地址的情况下更换底层代码。Wasabi协议没有设置时间锁或多签保护，导致单一密钥完全控制协议。Blockaid的漏洞检测系统识别到正在进行的管理员密钥泄露攻击。持有Wasabi LP代币的用户被敦促撤销对相关合约的任何活动授权，因为这些代币背后的资产要么已被抽走，要么仍处于风险中。（区块链网） [原文链接]