Protokol Wasabi Kehilangan $5 Juta Setelah Penyerang Mencuri Kunci Admin Deployer di Tiga Rantai

Poin-poin Penting:

• Seorang penyerang menguras $4,5 juta hingga $5,5 juta dari Wasabi Protocol dengan membobol kunci admin EOA deployer pada 30 April 2026.
• Virtuals Protocol membekukan setoran margin segera setelah insiden tersebut, meskipun sistem keamanannya sendiri tetap utuh.
• Wasabi Protocol belum mengeluarkan pernyataan publik; pengguna harus mencabut semua persetujuan di Ethereum, Base, dan Blast.

Protokol DeFi Wasabi Kehilangan $5 Juta Akibat Peretasan Kunci Admin

Alamat yang diretas, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, adalah satu-satunya kunci admin yang mengendalikan kontrak Perpmanager Wasabi. Pelaku serangan dilaporkan menggunakannya untuk memberikan peran ADMIN_ROLE kepada kontrak pembantu yang berbahaya, lalu menjalankan pembaruan proxy UUPS tanpa izin pada proxy Wasabivault dan Wasabilongpool sebelum menguras jaminan dan saldo kolam.

Perusahaan keamanan Hypernative menandai insiden tersebut dengan peringatan tingkat keparahan tinggi di ketiga rantai tersebut. Blockaid, Cyvers, dan Defimonalerts juga mendeteksi aktivitas tersebut secara real-time. Hypernative menegaskan bahwa mereka bukan pelanggan Wasabi, tetapi mendeteksi pelanggaran tersebut secara independen dan berjanji akan melakukan analisis teknis menyeluruh.

Serangan dimulai sekitar pukul 07:48 UTC dan berlangsung selama sekitar dua jam. Penyerang memberikan peran ADMIN_ROLE kepada kontrak yang dikendalikan penyerang di Ethereum, Base, dan Blast. Sebuah kontrak jahat kemudian memanggil fungsi strategyDeposit() pada tujuh hingga delapan proxy WasabiVault, dengan memasukkan strategi palsu yang memicu fungsi drain() yang mengembalikan seluruh jaminan ke penyerang.

Wasabilongpool di Ethereum dan Base kemudian di-upgrade ke implementasi jahat yang menguras sisa saldo. Dana dikonsolidasikan ke ETH, di-bridge jika diperlukan, dan didistribusikan ke berbagai alamat. Laporan awal mencatat aktivitas yang terkait dengan Tornado Cash.

Kerugian tunggal terbesar dilaporkan sebesar 840,9 WETH, senilai lebih dari $1,9 juta pada saat serangan terjadi. Aset lain yang dikuras meliputi sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN, dan bitcoin, serta aset rantai Base seperti VIRTUAL, AERO, dan cbBTC. Total nilai terkunci (TVL) Wasabi mencapai sekitar $8,5 juta di seluruh rantai sebelum eksploitasi, menurut data Defillama.

Ini merupakan kegagalan manajemen kunci, bukan kerentanan kontrak pintar. Tidak ada eksploitasi reentrancy atau logika yang terlibat. Pelaku serangan kemungkinan memperoleh kunci pribadi melalui phishing, malware, atau pencurian langsung, lalu menyalahgunakan arsitektur proxy yang dapat di-upgrade untuk menguras dana tanpa memicu pemeriksaan keamanan konvensional.

Virtuals Protocol, yang mendukung setoran margin melalui Wasabi, bertindak cepat setelah pelanggaran terdeteksi. Tim membekukan semua setoran margin dan memastikan keamanannya sendiri tetap utuh. Perdagangan, penarikan, dan operasi agen di Virtuals berlanjut tanpa gangguan. Tim memperingatkan pengguna untuk menghindari menandatangani transaksi apa pun yang terkait dengan Wasabi.

Protokol Wasabi belum mengeluarkan pernyataan publik atau posting insiden hingga data terbaru yang tersedia. Protokol ini sebelumnya berkomunikasi dengan cepat selama insiden yang tidak terkait dan memiliki audit dari Zellic dan Sherlock, namun serangan ini sepenuhnya melewati perlindungan tersebut.

Pengguna yang terpapar disarankan untuk mencabut semua persetujuan Wasabi di Ethereum, Base, dan Blast segera. Alat seperti Revoke.cash, Etherscan, dan Basescan dapat membantu mengidentifikasi persetujuan yang aktif. Posisi LP yang tersisa harus ditarik tanpa penundaan, dan tidak boleh menandatangani transaksi terkait Wasabi hingga tim mengonfirmasi rotasi kunci dan integritas kontrak penuh.
Insiden ini sesuai dengan pola yang terlihat di seluruh DeFi pada tahun 2026: kontrak proxy yang dapat di-upgrade yang dipasangkan dengan kunci admin terpusat menciptakan titik kegagalan tunggal yang melewati bahkan kode yang telah diaudit dengan baik. Ketika satu kunci mengontrol izin upgrade di seluruh rantai, satu kompromi menjadi peristiwa yang meluas ke seluruh protokol.

Insiden Wasabi tidak terjadi secara terisolasi. April 2026 telah menyaksikan lebih dari $600 juta dikuras dari protokol DeFi melalui sekitar selusin insiden yang dikonfirmasi, menjadikannya salah satu bulan terburuk dalam catatan sektor ini. Bulan ini dimulai pada 1 April ketika penyerang menguras sekitar $285 juta dari Drift Protocol di Solana dalam waktu kurang dari 20 menit menggunakan manipulasi tata kelola dan penyalahgunaan oracle.

Pukulan besar kedua terjadi sekitar 18 April ketika eksploitasi jembatan Layerzero menyerang KelpDAO di Ethereum, menguras sekitar $292 juta dalam bentuk rsETH dan memicu efek domino senilai lebih dari $10 miliar di platform pinjaman, termasuk Aave. Serangan-serangan kecil lainnya terjadi sepanjang bulan pada Silo Finance, Cow Swap, Grinex, Rhea Finance, dan Aftermath Finance, di antara lainnya.

Pola yang terlihat di hampir setiap insiden mengarah bukan pada bug tingkat kode, melainkan pada kompromi kunci admin, kelemahan jembatan, dan risiko proxy yang dapat diperbarui, yang mengekspos titik kontrol terpusat yang tidak dapat dilindungi hanya dengan audit.

Situasi Wasabi masih berlangsung. Pengguna disarankan untuk memantau akun resmi @wasabi_protocol dan feed perusahaan keamanan untuk pembaruan.