Le protocole Wasabi perd 5 millions de dollars après qu'un pirate a mis la main sur la clé d'administration du déployeur sur trois chaînes

• Un pirate a détourné entre 4,5 et 5,5 millions de dollars du protocole Wasabi en compromettant la clé d'administration EOA du déployeur le 30 avril 2026.
• Virtuals Protocol a gelé les dépôts de marge immédiatement après la violation, bien que sa propre sécurité soit restée intacte.
• Wasabi Protocol n'a pas publié de communiqué officiel ; les utilisateurs doivent révoquer toutes les autorisations sur Ethereum, Base et Blast.

Le protocole DeFi Wasabi perd 5 millions de dollars suite au piratage de sa clé d'administration

L'adresse compromise, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, était la seule clé d'administration contrôlant les contrats Perpmanager de Wasabi. L'attaquant l'aurait utilisée pour attribuer le rôle ADMIN_ROLE à un contrat auxiliaire malveillant, puis aurait exécuté des mises à niveau non autorisées des proxys UUPS sur les proxys Wasabivault et le Wasabilongpool avant de vider les garanties et les soldes des pools.

La société de sécurité Hypernative a signalé l'incident par des alertes de gravité élevée sur les trois chaînes. Blockaid, Cyvers et Defimonalerts ont également détecté l'activité en temps réel. Hypernative a confirmé ne pas être un client de Wasabi, mais avoir détecté la faille de manière indépendante et s'est engagée à réaliser une analyse technique complète.

L'attaque a commencé vers 07 h 48 UTC et a duré environ deux heures. Le déployeur a accordé le rôle ADMIN_ROLE à des contrats contrôlés par l'attaquant sur Ethereum, Base et Blast. Un contrat malveillant a ensuite appelé la fonction strategyDeposit() sur sept à huit proxys WasabiVault, en transmettant une fausse stratégie qui a déclenché une fonction drain() renvoyant toutes les garanties à l'attaquant.

Le Wasabilongpool sur Ethereum et Base a ensuite été mis à jour vers une implémentation malveillante qui a vidé les soldes restants. Les fonds ont été consolidés en ETH, transférés via des ponts si nécessaire, puis répartis sur plusieurs adresses. Les premiers rapports ont fait état d'une certaine activité liée à Tornado Cash. La plus grande perte individuelle aurait été de 840,9 WETH, d'une valeur de plus de 1,9 million de dollars au moment de l'attaque. Parmi les autres actifs vidés figuraient des sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN et des bitcoins, ainsi que des actifs de la chaîne Base tels que VIRTUAL, AERO et cbBTC. La valeur totale verrouillée (TVL) de Wasabi s'élevait à environ 8,5 millions de dollars sur l'ensemble des chaînes avant l'exploitation, selon les données de Defillama.

Il s'agissait d'une défaillance de gestion des clés, et non d'une vulnérabilité du contrat intelligent. Aucune faille de réentrée ni d'exploitation de la logique n'était en cause. L'attaquant a probablement obtenu la clé privée par hameçonnage, via un logiciel malveillant ou par vol direct, puis a abusé de l'architecture de proxy évolutive pour détourner des fonds sans déclencher les contrôles de sécurité conventionnels.

Virtuals Protocol, qui gérait les dépôts de marge via Wasabi, a réagi rapidement après la détection de la faille. L'équipe a gelé tous les dépôts de marge et a confirmé que sa propre sécurité était intacte. Les opérations de trading, les retraits et les opérations des agents sur Virtuals se sont poursuivis sans interruption. L'équipe a averti les utilisateurs d'éviter de signer toute transaction liée à Wasabi.

Wasabi Protocol n'avait pas publié de communiqué public ni de message concernant l'incident à la date des dernières données disponibles. Le protocole a par le passé communiqué rapidement lors d'incidents sans rapport avec celui-ci et dispose d'audits réalisés par Zellic et Sherlock, mais cette attaque a entièrement contourné ces protections. Il est conseillé aux utilisateurs exposés de révoquer immédiatement toutes les autorisations Wasabi sur Ethereum, Base et Blast. Des outils tels que Revoke.cash, Etherscan et Basescan peuvent aider à identifier les autorisations actives. Toutes les positions LP restantes doivent être retirées sans délai, et aucune transaction liée à Wasabi ne doit être signée tant que l'équipe n'aura pas confirmé la rotation des clés et l'intégrité totale du contrat. Cet incident s'inscrit dans une tendance observée dans l'ensemble de la DeFi en 2026 : les contrats proxy pouvant être mis à jour, associés à des clés d'administration centralisées, créent un point de défaillance unique qui contourne même les codes ayant fait l'objet d'audits rigoureux. Lorsqu'une seule clé contrôle les autorisations de mise à jour sur plusieurs chaînes, une seule compromission devient un événement à l'échelle du protocole.

La violation de Wasabi n'est pas un cas isolé. En avril 2026, plus de 600 millions de dollars ont été détournés des protocoles DeFi lors d'une douzaine d'incidents confirmés, faisant de ce mois l'un des pires jamais enregistrés pour le secteur. Le mois a débuté le 1er avril avec des attaquants qui ont détourné environ 285 millions de dollars du protocole Drift sur Solana en moins de 20 minutes en manipulant la gouvernance et en exploitant l'oracle.

Un deuxième coup dur a frappé vers le 18 avril lorsqu'une faille du pont Layerzero a touché KelpDAO sur Ethereum, détournant environ 292 millions de dollars en rsETH et déclenchant une contagion en aval de plus de 10 milliards de dollars sur les plateformes de prêt, dont Aave. Des attaques de moindre ampleur ont eu lieu tout au long du mois sur Silo Finance, Cow Swap, Grinex, Rhea Finance et Aftermath Finance, entre autres.

La tendance observée dans presque tous les incidents s'éloigne des bogues au niveau du code pour pointer vers des compromissions de clés d'administration, des faiblesses des ponts et des risques liés aux proxys pouvant être mis à jour, exposant ainsi des points de contrôle centralisés contre lesquels les audits seuls ne peuvent pas protéger. La situation concernant Wasabi reste d'actualité. Les utilisateurs doivent suivre le compte officiel @wasabi_protocol et les flux des sociétés de sécurité pour obtenir des mises à jour.