Wasabi Protocol menetti 5 miljoonaa dollaria, kun hyökkääjä sai haltuunsa kolmen lohkoketjun Deployer-järjestelmän järjestelmänvalvojan avaimen

Tärkeimmät kohdat:

• Hyökkääjä siirsi 4,5–5,5 miljoonaa dollaria Wasabi Protocolista kaappaamalla deployer EOA -hallinnointavaimennuksen 30. huhtikuuta 2026.
• Virtuals Protocol jäädytti marginaalitalletukset välittömästi hyökkäyksen jälkeen, vaikka sen oma tietoturva pysyi täysin ehjänä.
• Wasabi Protocol ei ole julkaissut julkista lausuntoa; käyttäjien on peruutettava kaikki hyväksynnät Ethereumissa, Basessa ja Blastissa.

DeFi-protokolla Wasabi menetti 5 miljoonaa dollaria hallinnointavaimen hakkeroinnin seurauksena

Vaarantunut osoite, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, oli ainoa hallinnointinäppäin, joka hallitsi Wasabin Perpmanager-sopimuksia. Hyökkääjä käytti sitä tiettävästi myöntääkseen ADMIN_ROLE-roolin haitalliselle apusopimukselle, minkä jälkeen hän suoritti luvattomia UUPS-välityspalvelimen päivityksiä Wasabivault-välityspalvelimille ja Wasabilongpoolille ennen vakuuksien ja poolien saldojen tyhjentämistä.

Turvallisuusyritys Hypernative ilmoitti tapahtumasta korkean vakavuustason hälytyksillä kaikissa kolmessa ketjussa. Myös Blockaid, Cyvers ja Defimonalerts havaitsivat toiminnan reaaliajassa. Hypernative vahvisti, ettei se ole Wasabin asiakas, mutta havaitsi tietomurron itsenäisesti ja lupasi suorittaa kattavan teknisen analyysin.

Hyökkäys alkoi noin klo 07.48 UTC ja kesti noin kaksi tuntia. Käynnistäjä myönsi ADMIN_ROLE-roolin hyökkääjän hallitsemille sopimuksille Ethereumissa, Basessa ja Blastissa. Sitten haitallinen sopimus kutsui strategyDeposit()-toimintoa seitsemässä tai kahdeksassa WasabiVault-välityspalvelimessa ja välitti väärennetyn strategian, joka laukaisi drain()-toiminnon, joka palautti kaikki vakuudet hyökkääjälle.

Ethereumin ja Basen Wasabilongpool päivitettiin sitten haitalliseksi toteutukseksi, joka tyhjensi jäljellä olevat saldot. Varat yhdistettiin ETH:ksi, siirrettiin tarvittaessa ja jaettiin useille osoitteille. Varhaisissa raporteissa mainittiin Tornado Cashiin liittyvää toimintaa.

Suurin yksittäinen tappio oli raporttien mukaan 840,9 WETH, jonka arvo oli hyökkäyshetkellä yli 1,9 miljoonaa dollaria. Muita tyhjennettyjä varoja olivat sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN ja bitcoin sekä Base-ketjun varat, kuten VIRTUAL, AERO ja cbBTC. Defillaman tietojen mukaan Wasabin kokonaisarvo (TVL) oli noin 8,5 miljoonaa dollaria ketjuissa ennen hyökkäystä.

Kyseessä oli avainhallinnan epäonnistuminen, ei älykkään sopimuksen haavoittuvuus. Hyökkäykseen ei liittynyt reentrancy- tai logiikkahyökkäyksiä. Hyökkääjä sai todennäköisesti yksityisen avaimen phishingin, haittaohjelman tai suoran varkauden kautta ja käytti sitten hyväkseen päivitettävää välityspalvelinarkkitehtuuria varojen tyhjentämiseen ilman, että tavanomaiset turvatarkastukset laukesivat.

Virtuals Protocol, joka hoiti marginaalitalletuksia Wasabin kautta, reagoi nopeasti, kun hyökkäys havaittiin. Tiimi jäädytti kaikki marginaalitalletukset ja vahvisti, että sen oma turvallisuus oli täysin kunnossa. Kaupankäynti, nostot ja agenttitoiminnot Virtualsissa jatkuivat keskeytyksettä. Tiimi varoitti käyttäjiä välttämään Wasabiin liittyvien transaktioiden allekirjoittamista.

Wasabi Protocol ei ollut julkaissut julkista lausuntoa tai tapahtumapostausta viimeisimpien saatavilla olevien tietojen mukaan. Protokolla on aiemmin kommunikoinut nopeasti muissa, tähän liittymättömissä tapauksissa, ja sillä on Zellicin ja Sherlockin suorittamat auditoinnit, mutta tämä hyökkäys ohitti nämä suojaukset kokonaan.

Altistuneille käyttäjille suositellaan peruuttamaan välittömästi kaikki Wasabi-hyväksynnät Ethereumissa, Basessa ja Blastissa. Työkalut kuten Revoke.cash, Etherscan ja Basescan voivat auttaa tunnistamaan aktiiviset hyväksynnät. Jäljellä olevat LP-positiot tulisi nostaa viipymättä, eikä Wasabiin liittyviä transaktioita tulisi allekirjoittaa, ennen kuin tiimi vahvistaa avainten kierron ja sopimusten täydellisen eheyden.
Tapahtuma noudattaa vuonna 2026 DeFi-alalla havaittua kaavaa: päivitettävät välityssopimukset yhdistettynä keskitettyihin hallinnointia avaimiin luovat yhden vikakohdan, joka ohittaa jopa hyvin auditoidun koodin. Kun yksi avain hallitsee päivitysoikeuksia useilla ketjuilla, yksittäinen tietomurto muuttuu koko protokollaa koskevaksi tapahtumaksi.

Wasabin tietomurto ei tapahtunut yksittäisenä tapauksena. Huhtikuussa 2026 DeFi-protokollista on tyhjennetty yli 600 miljoonaa dollaria noin tusinassa vahvistetussa tapauksessa, mikä tekee siitä yhden alan historian pahimmista kuukausista. Kuukausi alkoi 1. huhtikuuta, kun hyökkääjät tyhjensivät noin 285 miljoonaa dollaria Solanan Drift Protocolista alle 20 minuutissa hallinnon manipuloinnin ja oraakkelin väärinkäytön avulla.

Toinen suuri isku koettiin 18. huhtikuuta, kun Layerzero-sillan haavoittuvuus iski Ethereum-verkossa toimivaan KelpDAO:hon, tyhjentäen noin 292 miljoonaa dollaria rsETH:na ja laukaisi yli 10 miljardin dollarin arvosta jälkivaikutuksia lainausalustoilla, mukaan lukien Aave. Pienempiä iskuja koettiin koko kuukauden ajan muun muassa Silo Financeen, Cow Swapiin, Grinexiin, Rhea Financeen ja Aftermath Financeen.

Lähes jokaisen tapauksen yhteinen piirre viittaa pois kooditason virheistä kohti hallinnointitunnusten vaarantumista, siltojen heikkouksia ja päivitettävien välityspalvelinten riskejä, paljastaen keskitettyjä hallintapisteitä, joita pelkät auditoinnit eivät pysty suojaamaan.

Wasabin tilanne on edelleen aktiivinen. Käyttäjien tulisi seurata virallista @wasabi_protocol-tiliä ja turvallisuusyritysten uutisvirtoja saadakseen päivityksiä.