Wasabi Protocol kaotab 5 miljonit dollarit pärast seda, kui ründaja haaras endale kolme ahela ulatuses rakendaja administraatori võtme

Peamised järeldused:

• Ründaja võttis Wasabi Protocolilt 4,5–5,5 miljonit dollarit, murdes 30. aprillil 2026. aastal rakendaja EOA administraatorivõtme.
• Virtuals Protocol külmutas vahetult pärast rikkumist tagatisdeposiidid, kuigi selle enda turvalisus jäi täielikult puutumatuks.
• Wasabi Protocol ei ole avaldanud avalikku avaldust; kasutajad peavad tühistama kõik heakskiidud Ethereumis, Base'is ja Blastis.

DeFi-protokoll Wasabi kaotab administraatorivõtme häkkimise tõttu 5 miljonit dollarit

Kompromiteeritud aadress 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8 oli ainus administraatorivõti, mis kontrollis Wasabi Perpmanageri lepinguid. Ründaja kasutas seda väidetavalt selleks, et anda ADMIN_ROLE pahatahtlikule abilepingule, seejärel viis ta läbi volitamata UUPS-proksi uuendused Wasabivaulti proksidel ja Wasabilongpoolis, enne kui tühjendas tagatised ja fondi saldod.

Turvafirma Hypernative märkis juhtumi kõigi kolme ahela puhul kõrge tõsidusega hoiatustega. Blockaid, Cyvers ja Defimonalerts tuvastasid tegevuse samuti reaalajas. Hypernative kinnitas, et ei ole Wasabi klient, kuid tuvastas rikkumise iseseisvalt ja lubas teha täieliku tehnilise analüüsi.

Rünnak algas umbes kell 07:48 UTC ja kestis ligikaudu kaks tundi. Rakendaja andis ADMIN_ROLE'i ründaja kontrollitavatele lepingutele Ethereumis, Base'is ja Blastis. Pahatahtlik leping kutsus seejärel välja strategyDeposit() seitsmel kuni kaheksal WasabiVaulti proksil, edastades võltsitud strateegia, mis käivitas drain()-funktsiooni, mis tagastas kogu tagatise ründajale.

Seejärel uuendati Ethereumi ja Base'i Wasabilongpool pahatahtlikuks rakenduseks, mis pühkis ära järelejäänud saldod. Rahad koondati ETH-sse, vajadusel sillutati üle ja jaotati mitme aadressi vahel. Varastes raportites märgiti mõningast Tornado Cashiga seotud tegevust.

Suurim üksik kahju oli väidetavalt 840,9 WETH, mis rünnaku ajal oli väärt üle 1,9 miljoni dollari. Muud tühjendatud varad hõlmasid sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN ja bitcoini, koos Base-keti varadega nagu VIRTUAL, AERO ja cbBTC. Defillama andmete kohaselt oli Wasabi koguväärtus (TVL) enne rünnakut ketide lõikes ligikaudu 8,5 miljonit dollarit.

Tegemist oli võtmehalduse veaga, mitte nutilepingu haavatavusega. Rünnakuga ei kaasnenud reentrantsust ega loogilisi ärakasutamisi. Ründaja sai privaatvõtme tõenäoliselt kätte pettuse, pahavara või otsese varguse teel ning kuritarvitas seejärel uuendatavat proksiarhitektuuri, et varasid ära viia ilma tavapäraseid turvakontrolle käivitamata.

Virtuals Protocol, mis haldas marginaalhoiuseid Wasabi kaudu, reageeris kiiresti pärast rikkumise avastamist. Meeskond külmutas kõik marginaalhoiused ja kinnitas, et nende enda turvalisus on täielikult säilinud. Kauplemine, väljamaksed ja agendioperatsioonid Virtualsis jätkusid häireteta. Meeskond hoiatas kasutajaid, et nad ei allkirjastaks ühtegi Wasabiga seotud tehingut.

Viimaste kättesaadavate andmete kohaselt ei olnud Wasabi Protocol avaldanud avalikku avaldust ega postitust juhtumi kohta. Protokoll on varem suhtlenud kiiresti mitteseotud juhtumite korral ning omab Zellici ja Sherlocki auditeid, kuid see rünnak möödus nendest kaitsetest täielikult.

Ohustatud kasutajatel soovitatakse tühistada kohe kõik Wasabi heakskiidud Ethereumis, Base'is ja Blastis. Sellised tööriistad nagu Revoke.cash, Etherscan ja Basescan võivad aidata tuvastada aktiivseid heakskiite. Kõik järelejäänud LP-positsioonid tuleks viivitamatult välja võtta ning Wasabiga seotud tehinguid ei tohiks allkirjastada enne, kui meeskond on kinnitanud võtmete vahetuse ja lepingu täieliku terviklikkuse.

Intsident sobib 2026. aastal DeFi-s täheldatud mustriga: uuendatavad volituslepingud koos tsentraliseeritud administraatorivõtmetega loovad üheainsa rikkeallika, mis möödub isegi hästi auditeeritud koodist. Kui üks võti kontrollib uuendamisõigusi mitmes ahelas, muutub üksainus rikkumine kogu protokolli hõlmavaks sündmuseks.

Wasabi rikkumine ei toimunud eraldiseisvalt. 2026. aasta aprillis on ligi tosinast kinnitatud juhtumist DeFi-protokollidest äravoolatud üle 600 miljoni dollari, mis teeb sellest sektori jaoks ühe halvimaid kuud ajaloos. Kuu algas 1. aprillil, kui ründajad äravoolasid Solana Drift Protocolist ligi 285 miljonit dollarit vähem kui 20 minutiga, kasutades ära juhtimise manipuleerimist ja oraakli kuritarvitamist.

Teine suur löök saabus umbes 18. aprillil, kui Layerzero silla ärakasutamine tabas Ethereumil KelpDAO-d, viies ära ligi 292 miljonit dollarit rsETH-s ja põhjustades üle 10 miljardi dollari ulatuses allavoolu levikut laenuplatvormidel, sealhulgas Aave'is. Väiksemad rünnakud tabasid kogu kuu jooksul muu hulgas Silo Finance'i, Cow Swapi, Grinexi, Rhea Finance'i ja Aftermath Finance'i.

Peaaegu iga juhtumi puhul viitab muster mitte kooditasandi veadele, vaid administraatorivõtmete ohustamisele, sillade nõrkustele ja uuendatavate prokside riskidele, paljastades tsentraliseeritud kontrollpunktid, mille vastu auditeid üksi ei suuda kaitsta.

Wasabi olukord on endiselt aktiivne. Kasutajad peaksid jälgima ametlikku @wasabi_protocol kontot ja turvafirmade uudisvooge, et saada värsket teavet.