بروتوكول واسابي يخسر 5 ملايين دولار بعد أن استولى مهاجم على مفتاح الإدارة الخاص بـ«ديبلوير» عبر ثلاث سلاسل

النقاط الرئيسية:

• استنزف مهاجم ما بين 4.5 مليون و5.5 مليون دولار من بروتوكول Wasabi من خلال اختراق مفتاح إدارة EOA الخاص بالناشر في 30 أبريل 2026.
• جمد بروتوكول Virtuals الودائع الهامشية فور وقوع الاختراق، على الرغم من أن أمنه الخاص ظل سليماً تماماً.
• لم يصدر بروتوكول Wasabi أي بيان عام؛ ويجب على المستخدمين إلغاء جميع الموافقات عبر Ethereum وBase وBlast.

بروتوكول DeFi Wasabi يخسر 5 ملايين دولار في اختراق مفتاح الإدارة

كان العنوان المخترق، 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8، هو مفتاح الإدارة الوحيد الذي يتحكم في عقود Perpmanager الخاصة بـ Wasabi. وبحسب ما ورد، استخدمه المهاجم لمنح ADMIN_ROLE لعقد مساعد ضار، ثم نفذ ترقيات وكيل UUPS غير مصرح بها على وكلاء Wasabivault و Wasabilongpool قبل أن يسرق الضمانات وأرصدة المجمعات.

أبلغت شركة الأمن Hypernative عن الحادث من خلال تنبيهات عالية الخطورة عبر السلاسل الثلاث جميعها. كما اكتشفت Blockaid وCyvers وDefimonalerts النشاط في الوقت الفعلي. أكدت Hypernative أنها ليست من عملاء Wasabi ولكنها اكتشفت الاختراق بشكل مستقل وتعهدت بإجراء تحليل تقني كامل.

بدأ الهجوم حوالي الساعة 07:48 بالتوقيت العالمي المنسق واستمر لمدة ساعتين تقريبًا. منح الناشر ADMIN_ROLE للعقود التي يسيطر عليها المهاجم على Ethereum وBase وBlast. ثم استدعى عقد خبيث strategyDeposit() على سبعة إلى ثمانية وكلاء WasabiVault، ممررًا استراتيجية مزيفة أطلقت وظيفة drain() التي أعادت جميع الضمانات إلى المهاجم.

ثم تم ترقية Wasabilongpool على Ethereum وBase إلى تطبيق ضار قام بسحب الأرصدة المتبقية. تم تجميع الأموال في ETH، وتحويلها عند الحاجة، وتوزيعها عبر عناوين متعددة. أشارت التقارير الأولية إلى بعض الأنشطة المرتبطة بـ Tornado Cash.

أفادت التقارير أن أكبر خسارة فردية بلغت 840.9 WETH، بقيمة تزيد عن 1.9 مليون دولار في وقت الهجوم. وشملت الأصول الأخرى التي تم استنزافها sUSDC و sREKT و PEPE و MOG و NEIRO و ZYN وبيتكوين، إلى جانب أصول سلسلة Base مثل VIRTUAL و AERO و cbBTC. وبلغت القيمة الإجمالية المقفلة (TVL) لـ Wasabi حوالي 8.5 مليون دولار عبر السلاسل قبل الاستغلال، وفقًا لبيانات Defillama.

كان هذا فشلًا في إدارة المفاتيح، وليس ثغرة في العقد الذكي. لم تكن هناك أي استغلالات متكررة أو منطقية. من المرجح أن المهاجم حصل على المفتاح الخاص من خلال التصيد الاحتيالي أو البرامج الضارة أو السرقة المباشرة، ثم استغل بنية الوكيل القابلة للترقية لسحب الأموال دون تشغيل الفحوصات الأمنية التقليدية.

تحرك بروتوكول Virtuals، الذي كان يدعم ودائع الهامش عبر Wasabi، بسرعة بعد اكتشاف الاختراق. جمد الفريق جميع ودائع الهامش وأكد أن أمنه الخاص سليم تمامًا. استمرت عمليات التداول والسحب وعمليات الوكلاء على Virtuals دون انقطاع. حذر الفريق المستخدمين من توقيع أي معاملات متعلقة بـ Wasabi.

لم يصدر بروتوكول Wasabi أي بيان عام أو منشور عن الحادث حتى آخر البيانات المتاحة. سبق للبروتوكول أن تواصل بسرعة خلال حوادث غير ذات صلة ويخضع لتدقيقات من Zellic و Sherlock، لكن هذا الهجوم تجاوز تلك الحماية تمامًا.

يُنصح المستخدمون المعرضون للخطر بإلغاء جميع موافقات Wasabi عبر Ethereum و Base و Blast على الفور. يمكن لأدوات مثل Revoke.cash و Etherscan و Basescan المساعدة في تحديد الموافقات النشطة. يجب سحب أي مراكز LP متبقية دون تأخير، ولا ينبغي توقيع أي معاملات متعلقة بـ Wasabi حتى يؤكد الفريق تدوير المفاتيح وسلامة العقد بالكامل.
يتناسب هذا الحادث مع نمط شوهد عبر DeFi في عام 2026: حيث تخلق عقود الوكيل القابلة للترقية المقترنة بمفاتيح إدارية مركزية نقطة فشل واحدة تتجاوز حتى الكود الذي تم تدقيقه جيدًا. عندما يتحكم مفتاح واحد في أذونات الترقية عبر سلاسل متعددة، يصبح اختراق واحد حدثًا على نطاق البروتوكول بأكمله.

لم يحدث اختراق Wasabi بمعزل عن غيره. شهد أبريل 2026 استنزاف أكثر من 600 مليون دولار من بروتوكولات DeFi عبر ما يقرب من اثني عشر حادثًا مؤكدًا، مما يجعله أحد أسوأ الشهور المسجلة في هذا القطاع. بدأ الشهر في 1 أبريل بقيام المهاجمين باستنزاف حوالي 285 مليون دولار من بروتوكول Drift على Solana في أقل من 20 دقيقة باستخدام التلاعب بالحوكمة وإساءة استخدام أوراكل.

جاءت الضربة الثانية الكبرى في حوالي 18 أبريل عندما استهدف استغلال جسر Layerzero KelpDAO على Ethereum، مما أدى إلى استنزاف ما يقرب من 292 مليون دولار من rsETH وتسبب في انتشار أضرار تجاوزت قيمتها 10 مليارات دولار عبر منصات الإقراض، بما في ذلك Aave. وقعت هجمات أصغر حجمًا على مدار الشهر على Silo Finance وCow Swap وGrinex وRhea Finance وAftermath Finance، من بين آخرين.

يشير النمط السائد في كل حادثة تقريبًا إلى عدم وجود أخطاء على مستوى الكود، بل إلى اختراق مفاتيح الإدارة، ونقاط ضعف الجسور، ومخاطر الوكلاء القابلة للتحديث، مما يكشف عن نقاط تحكم مركزية لا يمكن للتدقيق وحده حمايتها.

لا تزال حالة Wasabi مستمرة. يجب على المستخدمين مراقبة الحساب الرسمي @wasabi_protocol وموجزات شركات الأمن للحصول على التحديثات.