Wasabi Protocol verliert 5 Millionen Dollar, nachdem ein Angreifer den Admin-Schlüssel des Deployers über drei Blockchains hinweg erbeutet hat

• Ein Angreifer entwendete am 30. April 2026 zwischen 4,5 und 5,5 Millionen US-Dollar vom Wasabi Protocol, indem er den Admin-Schlüssel des Deployer-EOA kompromittierte.
• Das Virtuals Protocol fror die Margin-Einlagen unmittelbar nach dem Angriff ein, obwohl seine eigene Sicherheit vollständig intakt blieb.
• Das Wasabi-Protokoll hat keine öffentliche Erklärung abgegeben; Nutzer müssen alle Genehmigungen auf Ethereum, Base und Blast widerrufen.

DeFi-Protokoll Wasabi verliert 5 Mio. $ durch Hack des Admin-Schlüssels

Die kompromittierte Adresse 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8 war der einzige Admin-Schlüssel, der Wasabis Perpmanager-Verträge kontrollierte. Der Angreifer nutzte ihn Berichten zufolge, um einem böswilligen Helfer-Kontrakt die ADMIN_ROLE zu gewähren, führte dann unbefugte UUPS-Proxy-Upgrades auf Wasabivault-Proxys und dem Wasabilongpool durch, bevor er Sicherheiten und Pool-Guthaben abtrug.

Das Sicherheitsunternehmen Hypernative meldete den Vorfall mit Warnungen höchster Schweregradstufe über alle drei Blockchains hinweg. Blockaid, Cyvers und Defimonalerts erkannten die Aktivität ebenfalls in Echtzeit. Hypernative bestätigte, dass es kein Wasabi-Kunde ist, den Vorfall jedoch unabhängig entdeckt hat, und kündigte eine vollständige technische Analyse an.

Der Angriff begann um ca. 07:48 UTC und dauerte etwa zwei Stunden. Der Deployer gewährte ADMIN_ROLE an vom Angreifer kontrollierte Verträge auf Ethereum, Base und Blast. Ein bösartiger Vertrag rief dann strategyDeposit() auf sieben bis acht WasabiVault-Proxys auf und übergab eine gefälschte Strategie, die eine drain()-Funktion auslöste, welche alle Sicherheiten an den Angreifer zurückgab.

Der Wasabilongpool auf Ethereum und Base wurde daraufhin auf eine bösartige Implementierung aktualisiert, die die verbleibenden Guthaben abräumte. Die Gelder wurden in ETH konsolidiert, bei Bedarf überbrückt und auf mehrere Adressen verteilt. Frühe Berichte wiesen auf Aktivitäten hin, die mit Tornado Cash in Verbindung standen. Der größte Einzelverlust belief sich Berichten zufolge auf 840,9 WETH, was zum Zeitpunkt des Angriffs einem Wert von mehr als 1,9 Millionen US-Dollar entsprach. Zu den weiteren abgezogenen Vermögenswerten gehörten sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN und Bitcoin sowie Base-Chain-Vermögenswerte wie VIRTUAL, AERO und cbBTC. Laut Daten von Defillama belief sich der Total Value Locked (TVL) von Wasabi vor dem Exploit auf etwa 8,5 Millionen US-Dollar über alle Blockchains hinweg.

Es handelte sich um einen Fehler im Schlüsselmanagement, nicht um eine Schwachstelle im Smart Contract. Es waren keine Reentrancy- oder Logik-Exploits beteiligt. Der Angreifer erlangte den privaten Schlüssel wahrscheinlich durch Phishing, Malware oder direkten Diebstahl und missbrauchte dann die aktualisierbare Proxy-Architektur, um Gelder abzuziehen, ohne herkömmliche Sicherheitsprüfungen auszulösen.

Virtuals Protocol, das Margin-Einlagen über Wasabi abwickelte, reagierte schnell, nachdem der Angriff entdeckt wurde. Das Team fror alle Margin-Einlagen ein und bestätigte, dass seine eigene Sicherheit vollständig intakt war. Handel, Auszahlungen und Agent-Operationen auf Virtuals liefen ohne Unterbrechung weiter. Das Team warnte die Nutzer davor, Transaktionen im Zusammenhang mit Wasabi zu unterzeichnen.

Wasabi Protocol hatte nach den neuesten verfügbaren Informationen noch keine öffentliche Erklärung oder einen Bericht zum Vorfall veröffentlicht. Das Protokoll hat bei früheren, nicht damit zusammenhängenden Vorfällen schnell kommuniziert und verfügt über Audits von Zellic und Sherlock, doch dieser Angriff umging diese Schutzmaßnahmen vollständig. Betroffenen Nutzern wird empfohlen, alle Wasabi-Genehmigungen auf Ethereum, Base und Blast unverzüglich zu widerrufen. Tools wie Revoke.cash, Etherscan und Basescan können dabei helfen, aktive Genehmigungen zu identifizieren. Alle verbleibenden LP-Positionen sollten unverzüglich abgezogen werden, und es sollten keine Wasabi-bezogenen Transaktionen unterzeichnet werden, bis das Team die Schlüsselrotation und die vollständige Integrität der Verträge bestätigt hat. Der Vorfall passt zu einem Muster, das 2026 in der gesamten DeFi-Branche zu beobachten war: Aktualisierbare Proxy-Verträge in Verbindung mit zentralisierten Admin-Schlüsseln schaffen einen Single Point of Failure, der selbst gut geprüften Code umgeht. Wenn ein einziger Schlüssel die Aktualisierungsberechtigungen über mehrere Blockchains hinweg kontrolliert, wird eine einzelne Kompromittierung zu einem protokollweiten Ereignis.

Der Wasabi-Hack war kein Einzelfall. Im April 2026 wurden bei rund einem Dutzend bestätigter Vorfälle mehr als 600 Millionen US-Dollar aus DeFi-Protokollen abgezogen, was diesen Monat zu einem der schlimmsten in der Geschichte des Sektors macht. Der Monat begann am 1. April damit, dass Angreifer mithilfe von Governance-Manipulation und Oracle-Missbrauch in weniger als 20 Minuten etwa 285 Millionen US-Dollar aus dem Drift Protocol auf Solana abzogen.

Ein zweiter schwerer Schlag erfolgte um den 18. April, als ein Layerzero-Bridge-Exploit KelpDAO auf Ethereum traf, rund 292 Millionen US-Dollar in rsETH abfließen ließ und eine nachgelagerte Ansteckung im Wert von über 10 Milliarden US-Dollar über Kreditplattformen hinweg auslöste, darunter Aave. Kleinere Angriffe trafen im Laufe des Monats unter anderem Silo Finance, Cow Swap, Grinex, Rhea Finance und Aftermath Finance.

Das Muster bei fast jedem Vorfall deutet nicht auf Fehler auf Code-Ebene hin, sondern auf Kompromittierungen von Admin-Schlüsseln, Schwachstellen bei Brücken und Risiken durch aktualisierbare Proxys, wodurch zentralisierte Kontrollpunkte offengelegt werden, vor denen Audits allein keinen Schutz bieten können. Die Situation bei Wasabi ist weiterhin aktiv. Nutzer sollten den offiziellen Account @wasabi_protocol und die Feeds von Sicherheitsfirmen auf Updates überwachen.