Wasabi Protocol mister 5 millioner dollar, efter at en hacker har fået fat i en deployer-administratornøgle på tværs af tre blokkæder

Hovedpunkter:

• En hacker stjal mellem 4,5 og 5,5 millioner dollars fra Wasabi Protocol ved at kompromittere deployer-EOA-administratornøglen den 30. april 2026.
• Virtuals Protocol frøs marginindskud umiddelbart efter bruddet, selvom deres egen sikkerhed forblev fuldstændig intakt.
• Wasabi Protocol har ikke udsendt en offentlig erklæring; brugere skal tilbagekalde alle godkendelser på Ethereum, Base og Blast.

DeFi-protokollen Wasabi mister 5 mio. dollar i hack af admin-nøgle

Den kompromitterede adresse, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, var den eneste admin-nøgle, der kontrollerede Wasabis Perpmanager-kontrakter. Angriberen brugte den angiveligt til at tildele ADMIN_ROLE til en ondsindet hjælpekontrakt og udførte derefter uautoriserede UUPS-proxyopgraderinger på Wasabivault-proxyer og Wasabilongpool, før han tømte sikkerhedsstillelser og pool-saldi.

Sikkerhedsfirmaet Hypernative markerede hændelsen med alarmer af høj alvorlighed på tværs af alle tre kæder. Blockaid, Cyvers og Defimonalerts opdagede også aktiviteten i realtid. Hypernative bekræftede, at det ikke er en Wasabi-kunde, men opdagede bruddet uafhængigt og lovede en fuld teknisk analyse.

Angrebet begyndte omkring kl. 07:48 UTC og varede i cirka to timer. Implementøren tildelte ADMIN_ROLE til angriberkontrollerede kontrakter på Ethereum, Base og Blast. En ondsindet kontrakt kaldte derefter strategyDeposit() på syv til otte WasabiVault-proxyer og videregav en falsk strategi, der udløste en drain()-funktion, der returnerede al sikkerhed til angriberen.

Wasabilongpool på Ethereum og Base blev derefter opgraderet til en ondsindet implementering, der tømte de resterende saldi. Midlerne blev konsolideret til ETH, overført hvor nødvendigt og fordelt på flere adresser. Tidlige rapporter bemærkede en vis aktivitet knyttet til Tornado Cash.

Det største enkeltstående tab var angiveligt 840,9 WETH, til en værdi af mere end 1,9 millioner dollars på tidspunktet for angrebet. Andre drænede aktiver omfattede sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN og bitcoin samt Base-chain-aktiver såsom VIRTUAL, AERO og cbBTC. Wasabis samlede værdi låst (TVL) lå på ca. 8,5 millioner dollars på tværs af kæder før udnyttelsen, ifølge data fra Defillama.

Dette var en fejl i nøgleadministrationen, ikke en sårbarhed i smartkontrakten. Der var ikke tale om reentrancy eller logiske udnyttelser. Angriberen har sandsynligvis fået fat i den private nøgle via phishing, malware eller direkte tyveri og har derefter misbrugt den opgraderbare proxyarkitektur til at tømme midlerne uden at udløse konventionelle sikkerhedskontroller.

Virtuals Protocol, som drev margindepositer via Wasabi, handlede hurtigt, efter at bruddet blev opdaget. Teamet frøs alle margindepositer og bekræftede, at deres egen sikkerhed var fuldstændig intakt. Handel, udbetalinger og agentoperationer på Virtuals fortsatte uden afbrydelser. Teamet advarede brugerne om at undgå at underskrive Wasabi-relaterede transaktioner.

Wasabi Protocol havde ikke udsendt en offentlig erklæring eller et indlæg om hændelsen på tidspunktet for de seneste tilgængelige data. Protokollen har tidligere kommunikeret hurtigt under urelaterede hændelser og har gennemgået revisioner fra Zellic og Sherlock, men dette angreb omgik disse beskyttelsesforanstaltninger fuldstændigt.

Brugere, der er udsat for risiko, rådes til straks at tilbagekalde alle Wasabi-godkendelser på Ethereum, Base og Blast. Værktøjer som Revoke.cash, Etherscan og Basescan kan hjælpe med at identificere aktive godkendelser. Eventuelle resterende LP-positioner bør trækkes tilbage uden forsinkelse, og der bør ikke underskrives nogen Wasabi-relaterede transaktioner, før teamet bekræfter nøglerotation og fuld kontraktintegritet.
Hændelsen passer ind i et mønster, der er set på tværs af DeFi i 2026: opgraderbare proxy-kontrakter parret med centraliserede admin-nøgler skaber et enkelt svigtpunkt, der omgår selv velrevidere kode. Når en enkelt nøgle kontrollerer opgraderingsrettigheder på tværs af flere kæder, bliver en enkelt kompromittering en protokolomfattende hændelse.

Wasabi-bruddet skete ikke isoleret. I april 2026 er der blevet drænet mere end 600 millioner dollars fra DeFi-protokoller i omkring et dusin bekræftede hændelser, hvilket gør det til en af de værste måneder nogensinde for sektoren. Måneden startede den 1. april, hvor angribere drænede cirka 285 millioner dollars fra Drift Protocol på Solana på under 20 minutter ved hjælp af manipulation af governance og misbrug af orakler.

Et andet stort slag kom omkring den 18. april, da et Layerzero-bridge-angreb ramte KelpDAO på Ethereum, hvorved der blev drænet omkring 292 millioner dollars i rsETH og udløst en nedadgående smitte på over 10 milliarder dollars på tværs af udlånsplatforme, herunder Aave. Mindre angreb ramte i løbet af måneden blandt andet Silo Finance, Cow Swap, Grinex, Rhea Finance og Aftermath Finance.

Mønstret i næsten alle hændelser peger væk fra fejl på kodeniveau og mod kompromittering af administratornøgler, svagheder i broer og risici ved opgraderbare proxyer, hvilket afslører centraliserede kontrolpunkter, som revisioner alene ikke kan beskytte imod.

Situationen med Wasabi er stadig aktiv. Brugere bør følge den officielle @wasabi_protocol-konto og sikkerhedsfirmaernes feeds for opdateringer.