全球

Wasabi Protocol $570万被盗复盘:AWS私钥泄露撕开”Web2→Web3″攻击面,协议责任边界何在?

Posted on by Aiying快讯
09
5 月

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

这不是一起典型的智能合约漏洞事件。2026年4月30日,Wasabi Protocol攻击者通过AWS基础设施漏洞直接获取了控制EVM合约的私钥,然后像合约owner一样从容转走了$480万用户资金和$90万项目金库——合计$570万。而Wasabi时隔9天后发布的官方回应措辞谨慎:”正在探索所有可行路径”——至今未做明确赔偿承诺。这件事戳中了一个行业长期忽视的盲区:当漏洞出在链下云基础设施上,协议的法律责任边界到底在哪里?

发生了什么:AWS漏洞→私钥泄露→EVM合约资金被转走

一条非典型的”Web2→Web3″攻击链

4月30日,攻击者利用AWS基础设施漏洞获取了控制Wasabi Protocol智能合约的私钥,随后直接操作Ethereum、Base、Blast、Berachain四条链上的EVM合约,转走了总计$570万的资产(Wasabi Protocol官方X, 2026-05-09)。

这条攻击链的逻辑非常简单——甚至可以说”粗暴”:

AWS基础设施漏洞 → 获取控制智能合约的私钥 → 私钥操作EVM合约 → 直接转走资金

这里的关键在于:智能合约代码本身没有任何问题。攻击者不需要寻找重入漏洞,不需要构造闪电贷攻击,甚至不需要理解合约逻辑——因为拿到私钥之后,他就是合约的合法操作者。这是一次纯粹的链下安全失败。

受影响范围方面,Ethereum、Base、Blast、Berachain四条链上的部分金库受损,而Solana部署和Prop AMM完全未受影响。也就是说,即使是同一协议,只要私钥管理是隔离的,就不会被波及——这反过来证明了:问题出在私钥管理的集中化,而非协议设计。

应急响应:2天恢复、9天才复盘

Wasabi的应急响应速度不慢:攻击发生后的2天内(5月2日),漏洞得到遏制,未受影响的金库恢复提款功能。同日,Wasabi聘请了区块链取证公司ZeroShadow对被盗资金进行链上追踪。

但完整复盘报告直到5月9日才发布——时隔9天。这段时间足够做内部调查和法律评估,但也足够让焦虑的用户在TG和Discord里刷满”wen compensation”。

至于AWS漏洞的具体技术细节——是IAM角色配置错误、S3存储桶公开访问、EC2元数据服务(IMDS)利用,还是其他攻击向量——Wasabi的复盘报告没有披露吴说区块链, 2026-05-09)。这种模糊性本身也增加了法律分析的难度。

为什么重要:AWS正在从两个维度同时暴露加密行业的单点故障风险

同日事件对比:Wasabi(保密性) vs Coinbase(可用性)

同一天——4月30日——Coinbase也遭遇了AWS服务中断(据Decrypt, 2026-04-30)。两个事件放在一起看,构成了一幅令人不安的图景:

  • Coinbase AWS宕机,属于可用性(Availability)维度的故障——用户暂时无法交易,但资产安全;
  • Wasabi私钥泄露,属于保密性(Confidentiality)维度的故障——资产被直接转走,安全彻底失效。

这两个事件在同一天发生,暴露的是同一个问题:AWS正在成为加密行业的”系统性基础设施”——而当足够多的DeFi协议的前端、后端、密钥管理都依赖同一家云服务商时,AWS本身的任何故障都会产生行业级影响。Wasabi的事件还额外揭示了一点:不仅仅是服务中断,云基础设施的安全性也直接决定了链上资产的安全

智能合约安全 ≠ 协议安全

这个行业过去五年在链上安全方面进步巨大——形式化验证、模糊测试、竞争性审计——智能合约审计已经相当成熟。但Wasabi的事件提醒我们一件很简单的事:

你把私钥托管在AWS上,你的协议安全就等于AWS的安全加上你的配置水平。

这意味着一条新的风险公式:

协议总安全 = 智能合约安全 + 云基础设施安全 + 私钥管理安全 + 访问控制安全

如果后三项被忽视了,合约审计再漂亮也没用。攻击者根本不需要在链上找漏洞,他只需要在链下找到你私钥存放的位置。

怎么看:责任边界、补偿模式、审计标准的三重拷问

  • 协议责任边界:当漏洞出在AWS,不是”天灾”是”人祸”。大多数DeFi协议的服务条款(ToS)都包含某种”不可抗力”或”第三方服务免责”条款。但AWS基础设施配置失误算不算不可抗力?在法理上,不可抗力通常指不能预见、不能避免且不能克服的客观情况——而AWS的安全配置(如IAM权限、S3访问策略)是协议团队可以控制、应当控制的行为。如果把私钥放在能被外部访问的位置,这不是”天灾”,这是”人祸”。协议对用户资金的安全保障义务是基础性的——不管漏洞出现在代码层面还是基础设施层面,如果最终指向的是协议方的配置疏忽,法律上的赔偿责任很难完全推掉。
  • Wasabi的补偿表态:法务话术背后的博弈。相比同期Kelp/Lido明确承诺”全额补偿”的果断,Wasabi的措辞——”正在探索所有可行路径”——是一个极其保守的法务话术。从风险管理角度可以理解:在对AWS的责任认定和资金追回的可行性明确之前就承诺全额赔偿,等于自己兜底$570万。但反过来看,用户资金被盗后听到的是”我们在探索”而非”我们会赔”,这种态度本身就在考验社区信任。DeFi协议在安全问题上的表态,本质上是在”法律风险规避”和”用户信任维护”之间做平衡。
  • ZeroShadow链上追踪:最务实的资金追回路径。Wasabi聘请ZeroShadow进行链上追踪是务实的选择。链上追踪+交易所冻结+执法合作,是当前被盗加密资产追回最有效的手段。这条路如果能走通——如果攻击者的资金流入了中心化交易所并被冻结——Wasabi可能通过执法渠道部分追回。但这需要时间,而用户在等待。而且随着混币器和跨链桥的普及,链上追踪的成功窗口正在收窄。
  • DeFi安全事件补偿模式图谱正在形成。把近期事件串起来看,补偿模式正在分化:Aave通过生态储备借资补缺口;Drift探索用户偿还方案;Kelp全额兜底;Wasabi目前处于”观望+追踪”模式。不同协议的资金储备、法律风险偏好和团队决策风格,正在形成差异化的补偿图谱。这本质上是”谁最终承担损失”的博弈——在法律没有明确规定的情况下,市场在自行摸索规则。
  • 云基础设施安全审计应该成为标配。传统智能合约审计只覆盖链上代码。Wasabi事件揭示了一个被长期忽视的新维度:云基础设施安全审计——包括IAM权限审查、密钥管理策略审计、网络隔离检查、元数据服务配置审查——应该纳入DeFi协议的整体安全评估框架。尤其是那些将控制链上资产的私钥托管在云服务上的协议,基础设施层面的漏洞可能比合约漏洞更致命——因为合约漏洞通常需要高技术门槛才能利用,而基础设施配置失误可能让攻击者直接拿到”钥匙”。
  • AWS作为”系统性基础设施”的去中心化悖论。在足够多的DeFi协议依赖AWS的情况下,AWS本身就成了一个中心化的单点故障源。行业是否需要考虑多云的密钥管理方案?是否应该将高价值私钥存储在硬件安全模块(HSM)或独立安全环境中——而非直接托管在公有云?在Wasabi事件之前,这些问题可能只是理论讨论;现在,它们是每个DeFi协议都需要回答的实务问题。一个自称”去中心化”的金融系统,不应该因为一家云计算公司的配置失误而损失$570万。

一句话总结

Wasabi Protocol的安全事件是一个分水岭——它把”Web2基础设施→Web3资产“的攻击链从理论变成了现实。协议的赔偿责任边界不再只是智能合约的事,安全审计的范围需要从链上延伸到云上,而AWS在加密行业中的系统性角色——以及”去中心化”协议对中心化基础设施的深度依赖——都需要因为这件事被重新审视。$570万足够让人醒过来了。

原创文章,作者:Chronovate Legal Team。

来源:Wasabi Protocol 官方 X 安全事件复盘 | 吴说区块链:Wasabi Protocol 安全事件复盘

Aiying快讯