Protokol Wasabi přišel o 5 milionů dolarů poté, co útočník získal správcovský klíč Deployeru ve třech řetězcích

Hlavní body:

• Útočník odcizil z Wasabi Protocol 4,5 až 5,5 milionu dolarů tím, že 30. dubna 2026 kompromitoval administrační klíč EOA pro nasazení.
• Protokol Virtuals okamžitě po narušení zmrazil maržové vklady, ačkoli jeho vlastní zabezpečení zůstalo zcela neporušené.
• Protokol Wasabi nevydal žádné veřejné prohlášení; uživatelé musí zrušit všechna schválení v sítích Ethereum, Base a Blast.

DeFi protokol Wasabi přišel o 5 milionů dolarů v důsledku hacknutí administrátorského klíče

Napadená adresa 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8 byla jediným administrátorským klíčem ovládajícím smlouvy Perpmanager protokolu Wasabi. Útočník jej údajně použil k udělení role ADMIN_ROLE škodlivé pomocné smlouvě, poté provedl neautorizované aktualizace proxy UUPS na proxy Wasabivault a Wasabilongpool, než vybral kolaterál a zůstatky fondů.

Bezpečnostní firma Hypernative označila incident jako vysoce závažný a vydala varování ve všech třech řetězcích. Blockaid, Cyvers a Defimonalerts také detekovaly tuto aktivitu v reálném čase. Hypernative potvrdila, že není zákazníkem Wasabi, ale narušení detekovala nezávisle a přislíbila úplnou technickou analýzu.

Útok začal kolem 07:48 UTC a trval přibližně dvě hodiny. Deployer udělil ADMIN_ROLE smlouvám ovládaným útočníkem na Ethereum, Base a Blast. Škodlivá smlouva poté zavolala strategyDeposit() na sedmi až osmi proxy WasabiVault, přičemž předala falešnou strategii, která spustila funkci drain() vracující veškeré kolaterály útočníkovi.

Wasabilongpool na Ethereu a Base byl poté aktualizován na škodlivou implementaci, která vybrala zbývající zůstatky. Prostředky byly konsolidovány do ETH, v případě potřeby převedeny a rozděleny na více adres. Rané zprávy zaznamenaly určitou aktivitu spojenou s Tornado Cash.

Největší jednotlivá ztráta údajně činila 840,9 WETH, což v době útoku představovalo hodnotu více než 1,9 milionu dolarů. Mezi další vyprázdněná aktiva patřily sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN a bitcoin, spolu s aktivy řetězce Base, jako jsou VIRTUAL, AERO a cbBTC. Celková uzamčená hodnota (TVL) Wasabi činila před zneužitím napříč řetězci přibližně 8,5 milionu dolarů, podle údajů Defillama.

Jednalo se o selhání správy klíčů, nikoli o zranitelnost smart kontraktu. Nešlo o reentrancy ani logické exploity. Útočník pravděpodobně získal soukromý klíč prostřednictvím phishingu, malwaru nebo přímé krádeže a poté zneužil architekturu aktualizovatelného proxy k vyprázdnění prostředků, aniž by spustil konvenční bezpečnostní kontroly.

Virtuals Protocol, který prostřednictvím Wasabi zajišťoval maržové vklady, reagoval rychle poté, co byl útok odhalen. Tým zmrazil všechny maržové vklady a potvrdil, že jeho vlastní zabezpečení je plně neporušené. Obchodování, výběry a operace agentů na Virtuals pokračovaly bez přerušení. Tým varoval uživatele, aby se vyhýbali podepisování jakýchkoli transakcí souvisejících s Wasabi.

Protokol Wasabi podle nejnovějších dostupných údajů nevydal žádné veřejné prohlášení ani příspěvek o incidentu. Protokol v minulosti rychle komunikoval během nesouvisejících incidentů a má audity od společností Zellic a Sherlock, ale tento útok tyto ochrany zcela obešel.

Uživatelům, kteří jsou ohroženi, se doporučuje okamžitě zrušit všechna schválení Wasabi na platformách Ethereum, Base a Blast. Nástroje jako Revoke.cash, Etherscan a Basescan mohou pomoci identifikovat aktivní schválení. Veškeré zbývající LP pozice by měly být bezodkladně vybrány a žádné transakce související s Wasabi by neměly být podepisovány, dokud tým nepotvrdí rotaci klíčů a plnou integritu smlouvy.

Tento incident zapadá do vzorce, který byl v roce 2026 pozorován napříč DeFi: aktualizovatelné proxy smlouvy spárované s centralizovanými administrátorskými klíči vytvářejí jediný bod selhání, který obchází i dobře auditovaný kód. Když jeden klíč ovládá oprávnění k aktualizaci napříč více řetězci, stává se jediná kompromitace událostí v rámci celého protokolu.

K narušení Wasabi nedošlo izolovaně. V dubnu 2026 bylo z DeFi protokolů odčerpáno více než 600 milionů dolarů v rámci zhruba tuctu potvrzených incidentů, což z něj činí jeden z nejhorších měsíců v historii tohoto sektoru. Měsíc začal 1. dubna, kdy útočníci pomocí manipulace s řízením a zneužití orákula odčerpali přibližně 285 milionů dolarů z protokolu Drift na Solaně za méně než 20 minut.

Druhý velký úder přišel kolem 18. dubna, kdy exploit mostu Layerzero zasáhl KelpDAO na Ethereu, odčerpal zhruba 292 milionů dolarů v rsETH a vyvolal následnou nákazu v hodnotě přes 10 miliard dolarů napříč úvěrovými platformami, včetně Aave. Menší útoky se během měsíce odehrály mimo jiné na Silo Finance, Cow Swap, Grinex, Rhea Finance a Aftermath Finance.

Vzorec téměř všech incidentů ukazuje, že příčinou nejsou chyby na úrovni kódu, ale kompromitace administrátorských klíčů, slabiny mostů a rizika spojená s aktualizovatelnými proxy, což odhaluje centralizované kontrolní body, proti kterým samotné audity nemohou poskytnout ochranu.

Situace kolem Wasabi zůstává aktivní. Uživatelé by měli sledovat oficiální účet @wasabi_protocol a kanály bezpečnostních firem, kde se dozví o nejnovějších informacích.