A Wasabi Protocol 5 millió dollárt veszített, miután egy támadó három blokkláncon át megszerezte a telepítő adminisztrátori kulcsát

Főbb tanulságok:

• Egy támadó 4,5–5,5 millió dollárt sikkasztott el a Wasabi Protocolból azáltal, hogy 2026. április 30-án megszerzett a telepítő EOA adminisztrátori kulcsát.
• A Virtuals Protocol a támadás után azonnal befagyasztotta a fedezeti betéteket, bár saját biztonsági rendszere teljesen sértetlen maradt.
• A Wasabi Protocol nem adott ki nyilvános nyilatkozatot; a felhasználóknak vissza kell vonniuk az összes jóváhagyást az Ethereum, a Base és a Blast hálózatokon.

A Wasabi DeFi-protokoll 5 millió dollárt veszített az adminisztrátori kulcs feltörése miatt

A feltört cím, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, a Wasabi Perpmanager szerződéseit irányító egyetlen adminisztrátori kulcs volt. A támadó állítólag ezt használta arra, hogy ADMIN_ROLE jogosultságot adjon egy rosszindulatú segítő szerződésnek, majd jogosulatlan UUPS proxy frissítéseket hajtott végre a Wasabivault proxykon és a Wasabilongpoolon, mielőtt elsöpörte a biztosítékokat és a pool egyenlegeket.

A Hypernative biztonsági cég mindhárom láncon magas szintű riasztásokkal jelölte meg az incidenst. A Blockaid, a Cyvers és a Defimonalerts szintén valós időben észlelte a tevékenységet. A Hypernative megerősítette, hogy nem Wasabi-ügyfél, de függetlenül észlelte a biztonsági rést, és teljes körű technikai elemzést ígért.

A támadás körülbelül 07:48 UTC-kor kezdődött és körülbelül két órán át tartott. A telepítő ADMIN_ROLE jogosultságot adott a támadó által ellenőrzött szerződéseknek az Ethereumon, a Base-en és a Blaston. Ezután egy rosszindulatú szerződés meghívta a strategyDeposit() függvényt hét-nyolc WasabiVault proxy-n, átadva egy hamis stratégiát, amely elindította a drain() függvényt, amely az összes biztosítékot visszaadta a támadónak.

Az Ethereumon és a Base-en található Wasabilongpoolt ezután egy rosszindulatú implementációra frissítették, amely elsöpörte a fennmaradó egyenlegeket. A pénzeszközöket ETH-ba konszolidálták, szükség szerint áthidalták, és több címre osztották szét. A korai jelentések Tornado Cash-hez kapcsolódó tevékenységeket is megjegyeztek.

A legnagyobb egyedi veszteség állítólag 840,9 WETH volt, ami a támadás idején több mint 1,9 millió dollár értéknek felelt meg. Az elszívott eszközök között szerepelt az sUSDC, az sREKT, a PEPE, a MOG, a NEIRO, a ZYN és a bitcoin, valamint a Base-lánc eszközei, mint például a VIRTUAL, az AERO és a cbBTC. A Defillama adatai szerint a Wasabi teljes zárolt értéke (TVL) a kihasználás előtt láncokon át körülbelül 8,5 millió dollár volt.

Ez egy kulcskezelési hiba volt, nem pedig egy intelligens szerződés sebezhetősége. Nem volt szó reentrancy-ről vagy logikai kihasználásról. A támadó valószínűleg adathalászattal, rosszindulatú szoftverrel vagy közvetlen lopással jutott hozzá a privát kulcshoz, majd visszaélt a frissíthető proxy architektúrával, hogy a hagyományos biztonsági ellenőrzések kiváltása nélkül elvonja a pénzeszközöket.

A Virtuals Protocol, amely a Wasabin keresztül biztosította a fedezeti betéteket, gyorsan reagált a támadás észlelése után. A csapat befagyasztotta az összes fedezeti betétet, és megerősítette, hogy saját biztonsági rendszere teljesen sértetlen. A kereskedés, a kifizetések és az ügynöki műveletek a Virtualson zavartalanul folytak tovább. A csapat figyelmeztette a felhasználókat, hogy kerüljék a Wasabival kapcsolatos tranzakciók aláírását.

A legfrissebb rendelkezésre álló adatok szerint a Wasabi Protocol nem adott ki nyilvános nyilatkozatot vagy incidensről szóló bejegyzést. A protokoll korábban gyorsan kommunikált a nem kapcsolódó incidensek során, és rendelkezik a Zellic és a Sherlock által végzett auditokkal, de ez a támadás teljes mértékben megkerülte ezeket a védelmi intézkedéseket.

A kockázatnak kitett felhasználóknak javasoljuk, hogy azonnal vonják vissza az összes Wasabi-jóváhagyást az Ethereum, a Base és a Blast hálózatokon. Az olyan eszközök, mint a Revoke.cash, az Etherscan és a Basescan segíthetnek az aktív jóváhagyások azonosításában. A fennmaradó LP-pozíciókat haladéktalanul vissza kell vonni, és addig nem szabad Wasabi-hoz kapcsolódó tranzakciókat aláírni, amíg a csapat meg nem erősíti a kulcsok cseréjét és a szerződés teljes integritását.

Az incidens illeszkedik a 2026-ban a DeFi-ben megfigyelt mintába: a frissíthető proxy-szerződések és a központosított adminisztrátori kulcsok együttesen olyan egyetlen hibaforrást hoznak létre, amely még a jól auditált kódot is megkerüli. Amikor egy kulcs több lánc frissítési engedélyeit is ellenőrzi, egy egyetlen biztonsági rés a protokoll egészét érintő eseménnyé válik.

A Wasabi-támadás nem egyedülálló eset volt. 2026 áprilisában több mint 600 millió dollár tűnt el a DeFi-protokollokból körülbelül egy tucat megerősített incidens során, ami a szektor történetének egyik legrosszabb hónapjává tette ezt az időszakot. A hónap április 1-jén kezdődött, amikor támadók kormányzási manipuláció és orákulum-visszaélés segítségével kevesebb mint 20 perc alatt körülbelül 285 millió dollárt szereztek meg a Solana hálózatán működő Drift Protocolból.

A második nagy csapás április 18. körül érte a szektort, amikor egy Layerzero-híd kihasználása érte a KelpDAO-t az Ethereumon, mintegy 292 millió dollárnyi rsETH-t elszívva, és több mint 10 milliárd dollárnyi láncreakciót váltva ki a hitelezési platformokon, beleértve az Aave-t is. Kisebb támadások értek a hónap folyamán többek között a Silo Finance-t, a Cow Swap-ot, a Grinex-et, a Rhea Finance-t és az Aftermath Finance-t.

Szinte minden incidens esetében a mintázat nem a kódszintű hibákra utal, hanem az adminisztrátori kulcsok kompromittálására, a híd gyengeségeire és a frissíthető proxy kockázataira, felfedve azokat a központosított ellenőrzési pontokat, amelyek ellen az auditok önmagukban nem tudnak védelmet nyújtani.

A Wasabi helyzete továbbra is aktív. A felhasználóknak figyelemmel kell kísérniük a hivatalos @wasabi_protocol fiókot és a biztonsági cégek hírcsatornáit a frissítésekért.