پروتکل واسابی پس از آن‌که مهاجم کلید مدیریتی دیپلویِر را در ۳ شبکه تصاحب کرد، ۵ میلیون دلار از دست داد

نکات کلیدی:

• یک مهاجم با به‌خطر انداختن کلید ادمین EOA دیپلویِر در ۳۰ آوریل ۲۰۲۶، بین ۴.۵ تا ۵.۵ میلیون دلار از Wasabi Protocol تخلیه کرد.
• Virtuals Protocol بلافاصله پس از رخنه، واریزهای مارجین را متوقف کرد، هرچند امنیت خودِ آن کاملاً دست‌نخورده باقی ماند.
• Wasabi Protocol بیانیه عمومی منتشر نکرده است؛ کاربران باید تمام مجوزها (approvals) را در اتریوم، Base و Blast لغو کنند.

پروتکل دیفای Wasabi در هک کلید ادمین ۵ میلیون دلار از دست داد

آدرس به‌خطر افتاده، 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8، تنها کلید ادمینی بود که قراردادهای Perpmanager واسابی را کنترل می‌کرد. مهاجم بنا به گزارش‌ها از آن برای اعطای ADMIN_ROLE به یک قرارداد کمکی مخرب استفاده کرد، سپس ارتقاهای غیرمجاز پروکسی UUPS را روی پروکسی‌های Wasabivault و Wasabilongpool اجرا کرد و بعد از آن وثیقه و موجودی‌های استخر را جاروب کرد.

شرکت امنیتی Hypernative این رخداد را با هشدارهای با شدت بالا در هر سه زنجیره علامت‌گذاری کرد. Blockaid، Cyvers و Defimonalerts نیز این فعالیت را به‌صورت لحظه‌ای شناسایی کردند. Hypernative تأیید کرد که مشتری Wasabi نیست اما این رخنه را به‌طور مستقل تشخیص داده و وعده یک تحلیل فنی کامل داد.

حمله حدود ساعت 07:48 UTC آغاز شد و تقریباً دو ساعت ادامه داشت. دیپلویِر به قراردادهای تحت کنترل مهاجم در اتریوم، Base و Blast، ADMIN_ROLE را اعطا کرد. سپس یک قرارداد مخرب تابع strategyDeposit() را روی هفت تا هشت پروکسی WasabiVault فراخوانی کرد و یک استراتژی جعلی را ارسال کرد که تابع drain() را فعال می‌کرد و تمام وثیقه را به مهاجم بازمی‌گرداند.

سپس Wasabilongpool در اتریوم و Base به یک پیاده‌سازی مخرب ارتقا یافت که باقی‌مانده موجودی‌ها را جاروب کرد. وجوه به ETH تجمیع شد، در صورت نیاز بریج شد و بین چندین آدرس توزیع گردید. گزارش‌های اولیه به برخی فعالیت‌های مرتبط با Tornado Cash اشاره کردند.

گفته می‌شود بزرگ‌ترین زیان منفرد 840.9 WETH بوده که در زمان حمله بیش از ۱.۹ میلیون دلار ارزش داشته است. سایر دارایی‌های تخلیه‌شده شامل sUSDC، sREKT، PEPE، MOG، NEIRO، ZYN و بیت‌کوین بود، به‌همراه دارایی‌های زنجیره Base مانند VIRTUAL، AERO و cbBTC. بر اساس داده‌های Defillama، ارزش کل قفل‌شده (TVL) واسابی پیش از اکسپلویت در مجموع زنجیره‌ها حدود ۸.۵ میلیون دلار بوده است.

این یک شکست در مدیریت کلید بود، نه یک آسیب‌پذیری قرارداد هوشمند. هیچ حمله رِاینترنسی یا اکسپلویت منطقی در کار نبود. مهاجم احتمالاً کلید خصوصی را از طریق فیشینگ، بدافزار یا سرقت مستقیم به‌دست آورده و سپس با سوءاستفاده از معماری پروکسی قابل ارتقا، بدون فعال‌کردن بررسی‌های امنیتی مرسوم، وجوه را تخلیه کرده است.

Virtuals Protocol که واریزهای مارجین را از طریق Wasabi فراهم می‌کرد، پس از شناسایی رخنه سریع عمل کرد. تیم تمام واریزهای مارجین را مسدود کرد و تأیید نمود که امنیت خودِ آن کاملاً دست‌نخورده است. معاملات، برداشت‌ها و عملیات ایجنت‌ها در Virtuals بدون اختلال ادامه یافت. تیم به کاربران هشدار داد از امضای هرگونه تراکنش مرتبط با Wasabi خودداری کنند.

Wasabi Protocol تا زمان آخرین داده‌های در دسترس هیچ بیانیه عمومی یا گزارش رخداد منتشر نکرده بود. این پروتکل پیش‌تر در رخدادهای نامرتبط به‌سرعت اطلاع‌رسانی کرده و ممیزی‌هایی از Zellic و Sherlock در اختیار دارد، اما این حمله به‌طور کامل از آن محافظت‌ها عبور کرده است.

به کاربرانی که در معرض ریسک قرار دارند توصیه می‌شود فوراً همه مجوزهای Wasabi را در اتریوم، Base و Blast لغو کنند. ابزارهایی مانند Revoke.cash، Etherscan و Basescan می‌توانند به شناسایی مجوزهای فعال کمک کنند. هر موقعیت LP باقی‌مانده باید بدون تأخیر خارج شود و تا زمانی که تیم چرخش کلید (key rotation) و تمامیت کامل قراردادها را تأیید نکرده، هیچ تراکنش مرتبط با Wasabi نباید امضا شود.

این رخداد با الگویی که در دیفایِ ۲۰۲۶ دیده می‌شود همخوان است: قراردادهای پروکسی قابل ارتقا در کنار کلیدهای ادمین متمرکز، یک نقطه شکست واحد ایجاد می‌کنند که حتی از کدهای به‌خوبی ممیزی‌شده هم عبور می‌کند. وقتی یک کلید مجوز ارتقا را در چندین زنجیره کنترل کند، یک به‌خطر افتادنِ واحد به یک رخداد سرتاسری برای پروتکل تبدیل می‌شود.

رخنه Wasabi به‌صورت جداگانه رخ نداد. آوریل ۲۰۲۶ شاهد تخلیه بیش از ۶۰۰ میلیون دلار از پروتکل‌های دیفای در حدود یک دوجین رخداد تأییدشده بوده و آن را به یکی از بدترین ماه‌های ثبت‌شده برای این بخش تبدیل کرده است. ماه در ۱ آوریل با تخلیه تقریباً ۲۸۵ میلیون دلار از Drift Protocol روی سولانا در کمتر از ۲۰ دقیقه آغاز شد؛ با استفاده از دستکاری حاکمیت و سوءاستفاده از اوراکل.

ضربه بزرگ دوم حدود ۱۸ آوریل وارد شد، زمانی که یک اکسپلویت بریج Layerzero به KelpDAO روی اتریوم اصابت کرد، حدود ۲۹۲ میلیون دلار rsETH را تخلیه کرد و بیش از ۱۰ میلیارد دلار سرایت پایین‌دستی را در پلتفرم‌های وام‌دهی، از جمله Aave، رقم زد. ضربه‌های کوچک‌تر نیز در طول ماه به Silo Finance، Cow Swap، Grinex، Rhea Finance و Aftermath Finance و دیگران وارد شد.

الگوی تقریباً تمام رخدادها نشان می‌دهد مسئله بیشتر از باگ‌های سطح کد فاصله دارد و به سمت به‌خطر افتادن کلیدهای ادمین، ضعف‌های بریج و ریسک‌های پروکسی قابل ارتقا می‌رود؛ نقاط کنترل متمرکزی را آشکار می‌کند که ممیزی به‌تنهایی نمی‌تواند در برابرشان حفاظت ایجاد کند.

وضعیت Wasabi همچنان فعال است. کاربران باید حساب رسمی @wasabi_protocol و فیدهای شرکت‌های امنیتی را برای به‌روزرسانی‌ها رصد کنند.