हमलावर द्वारा 3 चेनों पर डिप्लॉयर एडमिन कुंजी पर कब्ज़ा करने के बाद वासाबी प्रोटोकल को $5M का नुकसान हुआ।

मुख्य निष्कर्ष:

• एक हमलावर ने 30 अप्रैल, 2026 को डिप्लॉयर EOA एडमिन कुंजी से समझौता करके वासाबी प्रोटोकॉल से $4.5M से $5.5M निकाल लिए।
• वर्चुअल्स प्रोटोकॉल ने उल्लंघन के तुरंत बाद मार्जिन जमा को फ्रीज कर दिया, हालांकि इसकी अपनी सुरक्षा पूरी तरह से अछूती रही।
• वासाबी प्रोटोकॉल ने कोई सार्वजनिक बयान जारी नहीं किया है; उपयोगकर्ताओं को Ethereum, Base, और Blast पर सभी अनुमोदन रद्द करने चाहिए।

डीफाई प्रोटोकॉल वासाबी को एडमिन की हैक में $5M का नुकसान

कंप्रोमाइज़ किया गया पता, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, वासाबी के पर्पमैनेजर कॉन्ट्रैक्ट्स को नियंत्रित करने वाली एकमात्र एडमिन कुंजी थी। कथित तौर पर हमलावर ने इसका उपयोग एक दुर्भावनापूर्ण हेल्पर कॉन्ट्रैक्ट को ADMIN_ROLE प्रदान करने के लिए किया, फिर संपार्श्विक और पूल बैलेंस को साफ करने से पहले वासाबिवाल्ड्ट प्रॉक्सी और वासाबि लॉन्गपूल पर अनधिकृत यूयूपीएस प्रॉक्सी अपग्रेड निष्पादित किए।

सुरक्षा फर्म हाइपरनेटिव ने तीनों चेनों पर उच्च-गंभीरता वाले अलर्ट के साथ इस घटना को चिह्नित किया। ब्लोकाइड, साइवर्स और डेफिमोनलर्ट्स ने भी इस गतिविधि का वास्तविक समय में पता लगाया। हाइपरनेटिव ने पुष्टि की कि वह वासाबी का ग्राहक नहीं है, लेकिन उसने स्वतंत्र रूप से इस उल्लंघन का पता लगाया और एक पूर्ण तकनीकी विश्लेषण का वादा किया।

यह हमला लगभग 07:48 UTC पर शुरू हुआ और लगभग दो घंटे तक चला। डिप्लॉयर ने Ethereum, Base, और Blast पर हमलावर के नियंत्रण वाले कॉन्ट्रैक्ट्स को ADMIN_ROLE प्रदान किया। फिर एक दुर्भावनापूर्ण कॉन्ट्रैक्ट ने सात से आठ WasabiVault प्रॉक्सी पर strategyDeposit() को कॉल किया, एक नकली स्ट्रैटेजी पास की जिसने drain() फ़ंक्शन को ट्रिगर किया और सभी कोलेटरल हमलावर को लौटा दिया।

फिर Ethereum और Base पर Wasabilongpool को एक दुर्भावनापूर्ण कार्यान्वयन में अपग्रेड किया गया जिसने शेष बकाया को साफ कर दिया। फंड को ETH में समेकित किया गया, जहाँ आवश्यक था वहाँ ब्रिज किया गया, और कई पतों पर वितरित किया गया। शुरुआती रिपोर्टों में टॉरनेडो कैश से जुड़ी कुछ गतिविधि का उल्लेख था।

रिपोर्टों के अनुसार, सबसे बड़ा एकल नुकसान 840.9 WETH था, जिसका हमला के समय मूल्य $1.9 मिलियन से अधिक था। खाली किए गए अन्य संपत्तियों में sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN, और बिटकॉइन के साथ-साथ Base-चेन संपत्तियां जैसे VIRTUAL, AERO, और cbBTC शामिल थे। Defillama डेटा के अनुसार, एक्सप्लॉइट से पहले, सभी चेनों पर वासाबी का कुल लॉक्ड मूल्य (TVL) लगभग $8.5 मिलियन था।

यह एक की-मैनेजमेंट की विफलता थी, न कि स्मार्ट कॉन्ट्रैक्ट की कोई कमजोरी। इसमें कोई रीएंट्रेंसी या लॉजिक एक्सप्लॉइट शामिल नहीं था। हमलावर ने संभवतः फ़िशिंग, मैलवेयर, या सीधी चोरी के माध्यम से प्राइवेट की प्राप्त की, फिर पारंपरिक सुरक्षा जांचों को ट्रिगर किए बिना फंड निकालने के लिए अपग्रेडेबल प्रॉक्सी आर्किटेक्चर का दुरुपयोग किया।

वर्चुअल्स प्रोटोकॉल, जो वासाबी के माध्यम से मार्जिन जमा को शक्ति प्रदान करता था, ने उल्लंघन का पता चलने के बाद तेजी से कार्रवाई की। टीम ने सभी मार्जिन जमा को फ्रीज कर दिया और पुष्टि की कि उसकी अपनी सुरक्षा पूरी तरह से बरकरार है। वर्चुअल्स पर ट्रेडिंग, निकासी और एजेंट संचालन बिना किसी रुकावट के जारी रहे। टीम ने उपयोगकर्ताओं को वासाबी-संबंधी किसी भी लेनदेन पर हस्ताक्षर करने से बचने की चेतावनी दी।

नवीनतम उपलब्ध डेटा के अनुसार वासाबी प्रोटोकॉल ने कोई सार्वजनिक बयान या घटना पोस्ट जारी नहीं किया था। प्रोटोकॉल ने पहले असंबंधित घटनाओं के दौरान जल्दी से संचार किया है और ज़ेलिक और शर्लॉक से ऑडिट करवाए हैं, लेकिन इस हमले ने उन सुरक्षा उपायों को पूरी तरह से दरकिनार कर दिया।

प्रभावित उपयोगकर्ताओं को सलाह दी जाती है कि वे तुरंत एथेरियम, बेस और ब्लैस्ट पर सभी वासाबी अनुमोदनों को रद्द कर दें। Revoke.cash, Etherscan, और Basescan जैसे टूल सक्रिय अनुमोदनों की पहचान करने में मदद कर सकते हैं। बाकी बची हुई LP पोजीशन को बिना देरी के वापस ले लिया जाना चाहिए, और तब तक कोई भी वासाबी-संबंधी लेनदेन साइन नहीं किया जाना चाहिए जब तक कि टीम प्रमुख रोटेशन और पूर्ण अनुबंध अखंडता की पुष्टि न कर दे।

यह घटना 2026 में DeFi में देखे गए एक पैटर्न से मेल खाती है: अपग्रेडेबल प्रॉक्सी अनुबंध जो केंद्रीकृत एडमिन कुंजियों के साथ जोड़े जाते हैं, एक एकल विफलता बिंदु बनाते हैं जो अच्छी तरह से ऑडिट किए गए कोड को भी बायपास कर देता है। जब एक कुंजी कई चेनों में अपग्रेड परमिशन को नियंत्रित करती है, तो एक ही समझौता पूरे प्रोटोकॉल में एक घटना बन जाता है।

वासाबी का उल्लंघन अलग-थलग नहीं हुआ। अप्रैल 2026 में लगभग एक दर्जन पुष्टि किए गए घटनाओं में DeFi प्रोटोकॉल से $600 मिलियन से अधिक की राशि निकाली गई है, जिससे यह इस क्षेत्र के लिए अब तक का सबसे खराब महीना बन गया है। महीने की शुरुआत 1 अप्रैल को हुई जब हमलावरों ने गवर्नेंस मैनिपुलेशन और ओरेकल दुरुपयोग का उपयोग करके सोलोना पर ड्रिफ्ट प्रोटोकॉल से 20 मिनट से भी कम समय में लगभग $285 मिलियन निकाल लिए।

दूसरा बड़ा झटका लगभग 18 अप्रैल को लगा जब लेयरजीरो ब्रिज एक्सप्लॉइट ने एथेरियम पर केल्पडीए को निशाना बनाया, जिससे लगभग 292 मिलियन डॉलर का rsETH निकाला गया और Aave सहित उधार प्लेटफार्मों पर 10 बिलियन डॉलर से अधिक का बाद का संक्रामण (downstream contagion) शुरू हो गया। महीने भर में साइलो फाइनेंस, काउ स्वैप, ग्राइनेक्स, रिया फाइनेंस, और आफ्टरमैथ फाइनेंस सहित अन्य पर भी छोटे हमले हुए।

लगभग हर घटना में पैटर्न कोड-स्तर की बग्स से हटकर एडमिन कुंजी समझौतों, ब्रिज की कमजोरियों, और अपग्रेडेबल प्रॉक्सी जोखिमों की ओर इशारा करता है, जो केंद्रीकृत नियंत्रण बिंदुओं को उजागर करता है जिनकी रक्षा केवल ऑडिट नहीं कर सकते।

वासाबी की स्थिति अभी भी सक्रिय है। उपयोगकर्ताओं को अपडेट के लिए आधिकारिक @wasabi_protocol खाते और सुरक्षा फर्म फीड्स की निगरानी करनी चाहिए।