El protocolo Wasabi pierde 5 millones de dólares después de que un atacante se hiciera con la clave de administrador del implementador en tres cadenas

• Un atacante sustrajo entre 4,5 y 5,5 millones de dólares del Protocolo Wasabi al comprometer la clave de administrador de la EOA del implementador el 30 de abril de 2026.
• Virtuals Protocol congeló los depósitos de margen inmediatamente después de la brecha, aunque su propia seguridad permaneció totalmente intacta.
• Wasabi Protocol no ha emitido ningún comunicado público; los usuarios deben revocar todas las autorizaciones en Ethereum, Base y Blast.

El protocolo DeFi Wasabi pierde 5 millones de dólares en un hackeo de la clave de administrador

La dirección comprometida, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, era la única clave de administrador que controlaba los contratos Perpmanager de Wasabi. Según se informa, el atacante la utilizó para otorgar el ADMIN_ROLE a un contrato auxiliar malicioso, tras lo cual ejecutó actualizaciones de proxy UUPS no autorizadas en los proxies de Wasabivault y en Wasabilongpool antes de vaciar las garantías y los saldos de los fondos.

La empresa de seguridad Hypernative señaló el incidente con alertas de alta gravedad en las tres cadenas. Blockaid, Cyvers y Defimonalerts también detectaron la actividad en tiempo real. Hypernative confirmó que no es cliente de Wasabi, pero detectó la brecha de forma independiente y se comprometió a realizar un análisis técnico completo.

El ataque comenzó alrededor de las 07:48 UTC y duró aproximadamente dos horas. El implementador concedió ADMIN_ROLE a contratos controlados por el atacante en Ethereum, Base y Blast. A continuación, un contrato malicioso llamó a strategyDeposit() en siete u ocho proxies de WasabiVault, pasando una estrategia falsa que activó una función drain() que devolvió todas las garantías al atacante.

A continuación, el Wasabilongpool en Ethereum y Base se actualizó a una implementación maliciosa que barrió los saldos restantes. Los fondos se consolidaron en ETH, se transfirieron donde fue necesario y se distribuyeron entre múltiples direcciones. Los primeros informes señalaron cierta actividad vinculada a Tornado Cash. Según se informó, la mayor pérdida individual fue de 840,9 WETH, con un valor superior a 1,9 millones de dólares en el momento del ataque. Otros activos drenados incluyeron sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN y bitcoin, junto con activos de la cadena Base como VIRTUAL, AERO y cbBTC. El valor total bloqueado (TVL) de Wasabi se situaba en aproximadamente 8,5 millones de dólares en todas las cadenas antes del ataque, según datos de Defillama.

Se trató de un fallo en la gestión de claves, no de una vulnerabilidad del contrato inteligente. No hubo reentrada ni exploits de lógica. Es probable que el atacante obtuviera la clave privada mediante phishing, malware o robo directo, y luego abusara de la arquitectura de proxy actualizable para drenar fondos sin activar los controles de seguridad convencionales.

Virtuals Protocol, que gestionaba los depósitos de margen a través de Wasabi, actuó con rapidez tras detectarse la brecha. El equipo congeló todos los depósitos de margen y confirmó que su propia seguridad estaba totalmente intacta. Las operaciones de trading, los retiros y las operaciones de los agentes en Virtuals continuaron sin interrupciones. El equipo advirtió a los usuarios que evitaran firmar cualquier transacción relacionada con Wasabi.

Wasabi Protocol no había emitido ningún comunicado público ni publicación sobre el incidente según los últimos datos disponibles. El protocolo se ha comunicado rápidamente en incidentes no relacionados anteriormente y cuenta con auditorías de Zellic y Sherlock, pero este ataque eludió por completo esas protecciones. Se recomienda a los usuarios afectados que revoquen inmediatamente todas las autorizaciones de Wasabi en Ethereum, Base y Blast. Herramientas como Revoke.cash, Etherscan y Basescan pueden ayudar a identificar las autorizaciones activas. Cualquier posición de LP restante debe retirarse sin demora, y no debe firmarse ninguna transacción relacionada con Wasabi hasta que el equipo confirme la rotación de claves y la integridad total del contrato. El incidente encaja en un patrón observado en el DeFi en 2026: los contratos proxy actualizables, combinados con claves de administración centralizadas, crean un punto único de fallo que elude incluso el código bien auditado. Cuando una sola clave controla los permisos de actualización en múltiples cadenas, un único compromiso se convierte en un evento que afecta a todo el protocolo.

La brecha de seguridad de Wasabi no fue un caso aislado. En abril de 2026 se han sustraído más de 600 millones de dólares de los protocolos DeFi en aproximadamente una docena de incidentes confirmados, lo que lo convierte en uno de los peores meses registrados para el sector. El mes comenzó el 1 de abril con atacantes que sustrajeron aproximadamente 285 millones de dólares del protocolo Drift en Solana en menos de 20 minutos mediante la manipulación de la gobernanza y el abuso del oráculo.

Un segundo golpe importante se produjo alrededor del 18 de abril, cuando un exploit del puente Layerzero afectó a KelpDAO en Ethereum, drenando aproximadamente 292 millones de dólares en rsETH y desencadenando un contagio de más de 10 000 millones de dólares en las plataformas de préstamo, incluida Aave. A lo largo del mes se produjeron ataques de menor envergadura contra Silo Finance, Cow Swap, Grinex, Rhea Finance y Aftermath Finance, entre otros.

El patrón común a casi todos los incidentes apunta lejos de los errores a nivel de código y hacia el compromiso de claves de administrador, debilidades en los puentes y riesgos de proxies actualizables, dejando al descubierto puntos de control centralizados contra los que las auditorías por sí solas no pueden proteger. La situación de Wasabi sigue activa. Los usuarios deben estar atentos a la cuenta oficial @wasabi_protocol y a las publicaciones de las empresas de seguridad para obtener actualizaciones.