Wasabi Protocol gubi 5 milijuna dolara nakon što napadač preuzme administratorski ključ deployera na 3 lanca

Ključne informacije:

• Napadač je izvukao 4,5 do 5,5 milijuna USD iz Wasabi Protocola kompromitiranjem deployer EOA administratorskog ključa 30. travnja 2026.
• Virtuals Protocol je odmah nakon proboja zamrznuo depozite margine, iako je njegova vlastita sigurnost ostala potpuno netaknuta.
• Wasabi Protocol nije izdao javno priopćenje; korisnici moraju opozvati sva odobrenja na Ethereum, Base i Blast mrežama.

DeFi protokol Wasabi izgubio 5 milijuna USD u haku administratorskog ključa

Kompromitirana adresa, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, bila je jedini administratorski ključ koji je kontrolirao Wasabijeve Perpmanager ugovore. Napadač ju je navodno iskoristio kako bi dodijelio ADMIN_ROLE zlonamjernom pomoćnom ugovoru, a zatim izvršio neautorizirane UUPS proxy nadogradnje na Wasabivault proxyjima i Wasabilongpoolu prije nego što je pokupio kolateral i stanja poolova.

Sigurnosna tvrtka Hypernative označila je incident upozorenjima visoke ozbiljnosti na sva tri lanca. Blockaid, Cyvers i Defimonalerts također su u stvarnom vremenu detektirali aktivnost. Hypernative je potvrdio da nije Wasabijev korisnik, ali je proboj otkrio neovisno te je obećao potpunu tehničku analizu.

Napad je započeo oko 07:48 UTC i trajao približno dva sata. Deployer je dodijelio ADMIN_ROLE ugovorima pod kontrolom napadača na Ethereum, Base i Blast mrežama. Zlonamjerni ugovor zatim je pozvao strategyDeposit() na sedam do osam WasabiVault proxyja, prosljeđujući lažnu strategiju koja je pokrenula funkciju drain() i vratila sav kolateral napadaču.

Wasabilongpool na Ethereum i Base mrežama potom je nadograđen na zlonamjernu implementaciju koja je pokupila preostala stanja. Sredstva su konsolidirana u ETH, po potrebi premoštena (bridged) te raspodijeljena na više adresa. Rani izvještaji naveli su i dio aktivnosti povezan s Tornado Cashom.

Najveći pojedinačni gubitak navodno je iznosio 840,9 WETH, vrijedan više od 1,9 milijuna USD u trenutku napada. Ostala ispražnjena imovina uključivala je sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN i bitcoin, zajedno s imovinom na Base lancu poput VIRTUAL, AERO i cbBTC. Wasabijev ukupni zaključani iznos (TVL) iznosio je približno 8,5 milijuna USD na lancima prije eksploita, prema Defillama podacima.

Ovo je bio propust u upravljanju ključevima, a ne ranjivost pametnog ugovora. Nisu bili uključeni reentrancy ili logički exploit-i. Napadač je vjerojatno došao do privatnog ključa putem phishinga, malvera ili izravne krađe, a zatim je zloupotrijebio arhitekturu nadogradivih proxyja kako bi ispraznio sredstva bez aktiviranja uobičajenih sigurnosnih provjera.

Virtuals Protocol, koji je omogućavao depozite margine kroz Wasabi, brzo je reagirao nakon što je proboj detektiran. Tim je zamrznuo sve depozite margine i potvrdio da je njegova vlastita sigurnost potpuno netaknuta. Trgovanje, isplate i operacije agenata na Virtualsu nastavili su se bez prekida. Tim je upozorio korisnike da izbjegavaju potpisivanje bilo kakvih transakcija povezanih s Wasabijem.

Wasabi Protocol nije izdao javno priopćenje niti objavu o incidentu prema posljednjim dostupnim podacima. Protokol je ranije brzo komunicirao tijekom nepovezanih incidenata i posjeduje revizije (audit) od Zellic-a i Sherlock-a, no ovaj je napad u potpunosti zaobišao te zaštite.

Korisnicima izloženima riziku savjetuje se da odmah opozovu sva Wasabi odobrenja na Ethereum, Base i Blast mrežama. Alati poput Revoke.cash, Etherscan i Basescan mogu pomoći u identifikaciji aktivnih odobrenja. Sve preostale LP pozicije treba povući bez odgode, a nikakve transakcije povezane s Wasabijem ne bi se smjele potpisivati dok tim ne potvrdi rotaciju ključeva i potpunu cjelovitost ugovora.

Incident se uklapa u obrazac viđen u DeFi-ju 2026.: nadogradivi proxy ugovori upareni s centraliziranim administratorskim ključevima stvaraju jedinstvenu točku kvara koja zaobilazi čak i dobro revidirani kod. Kada jedan ključ kontrolira ovlasti nadogradnje na više lanaca, jedan kompromis postaje događaj na razini cijelog protokola.

Proboj Wasabija nije se dogodio izolirano. Travanj 2026. donio je više od 600 milijuna USD ispražnjenih iz DeFi protokola kroz otprilike desetak potvrđenih incidenata, što ga čini jednim od najgorih mjeseci za sektor. Mjesec je otvoren 1. travnja kada su napadači ispraznili približno 285 milijuna USD iz Drift Protocola na Solani u manje od 20 minuta koristeći manipulaciju upravljanjem i zloupotrebu oraclea.

Drugi veliki udar uslijedio je oko 18. travnja kada je exploit mosta Layerzero pogodio KelpDAO na Ethereumu, ispraznivši oko 292 milijuna USD u rsETH i pokrenuvši više od 10 milijardi USD sekundarne zaraze kroz lending platforme, uključujući Aave. Manji udari dogodili su se tijekom mjeseca na Silo Finance, Cow Swap, Grinex, Rhea Finance i Aftermath Finance, među ostalima.

Obrazac u gotovo svakom incidentu upućuje dalje od grešaka na razini koda, a prema kompromitacijama admin ključeva, slabostima mostova i rizicima nadogradivih proxyja, razotkrivajući centralizirane točke kontrole koje same revizije ne mogu zaštititi.

Wasabi situacija i dalje je aktivna. Korisnici bi trebali pratiti službeni @wasabi_protocol račun i kanale sigurnosnih tvrtki za ažuriranja.