פרוטוקול Wasabi מאבד 5 מיליון דולר לאחר שתוקף השתלט על מפתח מנהל הפריסה בשלוש רשתות

עיקרי הדברים:

• תוקף רוקן 4.5–5.5 מיליון דולר מ‑Wasabi Protocol לאחר שהתפשר על מפתח האדמין של ה‑EOA של הדיפלוימנט ב‑30 באפריל 2026.
• Virtuals Protocol הקפיאה מיידית הפקדות מרג’ין לאחר הפריצה, אף שהאבטחה שלה עצמה נותרה תקינה לחלוטין.
• Wasabi Protocol לא פרסמה הצהרה פומבית; על המשתמשים לבטל את כל ההרשאות בכל Ethereum, Base ו‑Blast.

פרוטוקול ה‑DeFi Wasabi איבד 5 מיליון דולר בפריצת מפתח אדמין

הכתובת שנפרצה, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, הייתה מפתח האדמין היחיד ששלט בחוזי ה‑Perpmanager של Wasabi. התוקף לפי הדיווחים השתמש בה כדי להעניק את ADMIN_ROLE לחוזה עזר זדוני, ולאחר מכן ביצע שדרוגי פרוקסי UUPS לא מורשים בפרוקסי Wasabivault וב‑Wasabilongpool, לפני שטאטא את הביטחונות ויתרות המאגר.

חברת האבטחה Hypernative סימנה את האירוע בהתראות חומרה גבוהה בכל שלוש הרשתות. Blockaid, Cyvers ו‑Defimonalerts זיהו גם הם את הפעילות בזמן אמת. Hypernative אישרה שאינה לקוחה של Wasabi אך זיהתה את הפריצה באופן עצמאי והתחייבה לניתוח טכני מלא.

המתקפה החלה סביב 07:48 UTC ונמשכה כשעתיים. הדיפלוימנט העניק ADMIN_ROLE לחוזים שבשליטת התוקף ב‑Ethereum, Base ו‑Blast. לאחר מכן, חוזה זדוני קרא ל‑strategyDeposit() על שבעה עד שמונה פרוקסי WasabiVault, והעביר אסטרטגיה מזויפת שהפעילה פונקציה drain() שהחזירה את כל הביטחונות לתוקף.

ה‑Wasabilongpool ב‑Ethereum וב‑Base שודרג לאחר מכן למימוש זדוני שטאטא את היתרות שנותרו. הכספים אוחדו ל‑ETH, גושרו לפי הצורך, והופצו בין מספר כתובות. דיווחים מוקדמים ציינו פעילות מסוימת המקושרת ל‑Tornado Cash.

ההפסד היחיד הגדול ביותר היה לפי הדיווחים 840.9 WETH, בשווי של יותר מ‑1.9 מיליון דולר בזמן המתקפה. נכסים נוספים שנמשכו כללו sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN וביטקוין, לצד נכסים ברשת Base כגון VIRTUAL, AERO ו‑cbBTC. סך הערך הנעול (TVL) של Wasabi עמד על כ‑8.5 מיליון דולר בין הרשתות לפני הניצול, לפי נתוני Defillama.

זה היה כשל בניהול מפתחות, ולא פגיעות בחוזה חכם. לא היו מעורבים ניצולי reentrancy או ניצולי לוגיקה. התוקף ככל הנראה השיג את המפתח הפרטי באמצעות פישינג, נוזקה או גניבה ישירה, ולאחר מכן ניצל את ארכיטקטורת הפרוקסי הניתנת לשדרוג כדי לרוקן כספים מבלי להפעיל בדיקות אבטחה קונבנציונליות.

Virtuals Protocol, שהפעילה הפקדות מרג’ין דרך Wasabi, פעלה במהירות לאחר שהתגלתה הפריצה. הצוות הקפיא את כל הפקדות המרג’ין ואישר שהאבטחה שלו עצמו נותרה תקינה לחלוטין. מסחר, משיכות ופעולות סוכנים ב‑Virtuals נמשכו ללא שיבושים. הצוות הזהיר משתמשים להימנע מחתימה על כל טרנזקציה הקשורה ל‑Wasabi.

Wasabi Protocol לא פרסמה הצהרה פומבית או פוסט תקרית נכון לנתונים העדכניים הזמינים. הפרוטוקול בעבר תקשר במהירות במהלך אירועים לא קשורים ומחזיק בביקורות אבטחה של Zellic ו‑Sherlock, אך מתקפה זו עקפה את ההגנות הללו לחלוטין.

מומלץ למשתמשים עם חשיפה לבטל מיידית את כל ההרשאות ל‑Wasabi בכל Ethereum, Base ו‑Blast. כלים כמו Revoke.cash, Etherscan ו‑Basescan יכולים לסייע בזיהוי הרשאות פעילות. כל עמדות LP שנותרו יש למשוך ללא דיחוי, ואין לחתום על טרנזקציות הקשורות ל‑Wasabi עד שהצוות יאשר החלפת מפתחות ושלמות מלאה של החוזים.

האירוע משתלב בדפוס שנראה ברחבי DeFi בשנת 2026: חוזי פרוקסי הניתנים לשדרוג בשילוב מפתחות אדמין ריכוזיים יוצרים נקודת כשל יחידה שעוקפת אפילו קוד שעבר ביקורות מקיפות. כאשר מפתח אחד שולט בהרשאות שדרוג במספר רשתות, פשרה אחת הופכת לאירוע כלל‑פרוטוקולי.

הפריצה ל‑Wasabi לא קרתה בחלל ריק. אפריל 2026 ראה יותר מ‑600 מיליון דולר שנמשכו מפרוטוקולי DeFi בכתריסר תקריות מאושרות בערך, מה שהופך אותו לאחד החודשים הגרועים ביותר שנרשמו עבור המגזר. החודש נפתח ב‑1 באפריל כאשר תוקפים רוקנו כ‑285 מיליון דולר מ‑Drift Protocol בסולאנה בפחות מ‑20 דקות באמצעות מניפולציית ממשל וניצול אורקל.

מכה משמעותית שנייה הגיעה סביב 18 באפריל, כאשר ניצול גשר Layerzero פגע ב‑KelpDAO ב‑Ethereum, רוקן כ‑292 מיליון דולר ב‑rsETH והוביל ליותר מ‑10 מיליארד דולר של הדבקה במורד הזרם בפלטפורמות הלוואות, כולל Aave. פגיעות קטנות יותר נרשמו לאורך החודש ב‑Silo Finance, Cow Swap, Grinex, Rhea Finance ו‑Aftermath Finance, בין היתר.

התבנית כמעט בכל תקרית מצביעה הרחק מבאגים ברמת הקוד ולעבר פשרות במפתחות אדמין, חולשות בגשרים וסיכונים בפרוקסי הניתנים לשדרוג, החושפים נקודות שליטה ריכוזיות שביקורות לבדן אינן יכולות להגן עליהן.

המצב ב‑Wasabi עדיין מתפתח. משתמשים צריכים לעקוב אחר החשבון הרשמי @wasabi_protocol ופידי חברות האבטחה לקבלת עדכונים.