Il protocollo Wasabi subisce una perdita di 5 milioni di dollari dopo che un hacker ha sottratto la chiave amministrativa del deployer su tre catene

• Un hacker ha sottratto da 4,5 a 5,5 milioni di dollari dal Wasabi Protocol compromettendo la chiave amministrativa EOA del deployer il 30 aprile 2026.
• Virtuals Protocol ha congelato i depositi di margine immediatamente dopo la violazione, sebbene la propria sicurezza sia rimasta completamente intatta.
• Wasabi Protocol non ha rilasciato alcuna dichiarazione pubblica; gli utenti devono revocare tutte le approvazioni su Ethereum, Base e Blast.

Il protocollo DeFi Wasabi perde 5 milioni di dollari a causa dell'hacking della chiave amministrativa

L'indirizzo compromesso, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, era l'unica chiave amministrativa che controllava i contratti Perpmanager di Wasabi. Secondo quanto riferito, l'autore dell'attacco l'ha utilizzata per concedere l'ADMIN_ROLE a un contratto helper dannoso, quindi ha eseguito aggiornamenti proxy UUPS non autorizzati sui proxy Wasabivault e sul Wasabilongpool prima di sottrarre le garanzie e i saldi del pool.

La società di sicurezza Hypernative ha segnalato l'incidente con avvisi di alta gravità su tutte e tre le catene. Anche Blockaid, Cyvers e Defimonalerts hanno rilevato l'attività in tempo reale. Hypernative ha confermato di non essere un cliente di Wasabi, ma di aver rilevato la violazione in modo indipendente e si è impegnata a fornire un'analisi tecnica completa.

L'attacco è iniziato intorno alle 07:48 UTC ed è durato circa due ore. Il deployer ha concesso ADMIN_ROLE ai contratti controllati dall'autore dell'attacco su Ethereum, Base e Blast. Un contratto dannoso ha quindi chiamato strategyDeposit() su sette o otto proxy WasabiVault, passando una strategia falsa che ha attivato una funzione drain() restituendo tutte le garanzie all'autore dell'attacco.

Il Wasabilongpool su Ethereum e Base è stato quindi aggiornato a un'implementazione dannosa che ha svuotato i saldi rimanenti. I fondi sono stati consolidati in ETH, trasferiti dove necessario e distribuiti su più indirizzi. I primi rapporti hanno segnalato alcune attività collegate a Tornado Cash. La singola perdita più consistente è stata, secondo quanto riferito, di 840,9 WETH, per un valore di oltre 1,9 milioni di dollari al momento dell'attacco. Altre risorse prosciugate includevano sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN e bitcoin, insieme ad asset della catena Base come VIRTUAL, AERO e cbBTC. Il valore totale bloccato (TVL) di Wasabi ammontava a circa 8,5 milioni di dollari su tutte le catene prima dell'exploit, secondo i dati di Defillama.

Si è trattato di un errore nella gestione delle chiavi, non di una vulnerabilità dello smart contract. Non sono stati coinvolti exploit di reentrancy o logici. Probabilmente l'autore dell'attacco ha ottenuto la chiave privata tramite phishing, malware o furto diretto, per poi abusare dell'architettura proxy aggiornabile per sottrarre fondi senza attivare i controlli di sicurezza convenzionali.

Virtuals Protocol, che gestiva i depositi a margine tramite Wasabi, ha agito rapidamente dopo che la violazione è stata rilevata. Il team ha congelato tutti i depositi a margine e ha confermato che la propria sicurezza era completamente intatta. Il trading, i prelievi e le operazioni degli agenti su Virtuals sono proseguiti senza interruzioni. Il team ha avvertito gli utenti di evitare di firmare qualsiasi transazione relativa a Wasabi.

Wasabi Protocol non aveva rilasciato alcuna dichiarazione pubblica o post sull'incidente al momento degli ultimi dati disponibili. Il protocollo ha comunicato rapidamente in precedenza durante incidenti non correlati e dispone di audit da parte di Zellic e Sherlock, ma questo attacco ha aggirato completamente tali protezioni. Si consiglia agli utenti esposti di revocare immediatamente tutte le approvazioni Wasabi su Ethereum, Base e Blast. Strumenti come Revoke.cash, Etherscan e Basescan possono aiutare a identificare le approvazioni attive. Qualsiasi posizione LP residua dovrebbe essere ritirata senza indugio e nessuna transazione relativa a Wasabi dovrebbe essere firmata fino a quando il team non confermerà la rotazione delle chiavi e la piena integrità del contratto. L'incidente rientra in un modello osservato in tutto il settore DeFi nel 2026: i contratti proxy aggiornabili abbinati a chiavi amministrative centralizzate creano un singolo punto di errore che aggira anche il codice ben verificato. Quando una singola chiave controlla le autorizzazioni di aggiornamento su più catene, una singola compromissione diventa un evento a livello di protocollo.

La violazione di Wasabi non è avvenuta in modo isolato. L'aprile 2026 ha visto più di 600 milioni di dollari sottratti dai protocolli DeFi in circa una dozzina di incidenti confermati, rendendolo uno dei mesi peggiori mai registrati per il settore. Il mese si è aperto il 1° aprile con gli aggressori che hanno sottratto circa 285 milioni di dollari dal Drift Protocol su Solana in meno di 20 minuti utilizzando la manipolazione della governance e l'abuso dell'oracolo.

Un secondo duro colpo è arrivato intorno al 18 aprile, quando un exploit del bridge Layerzero ha colpito KelpDAO su Ethereum, sottraendo circa 292 milioni di dollari in rsETH e innescando un effetto a catena di oltre 10 miliardi di dollari sulle piattaforme di prestito, tra cui Aave. Nel corso del mese si sono verificati attacchi minori su Silo Finance, Cow Swap, Grinex, Rhea Finance e Aftermath Finance, tra gli altri.

Il modello che emerge da quasi tutti gli incidenti non punta verso bug a livello di codice, ma verso compromissioni delle chiavi amministrative, vulnerabilità dei bridge e rischi legati ai proxy aggiornabili, mettendo a nudo punti di controllo centralizzati che le sole verifiche non sono in grado di proteggere. La situazione di Wasabi rimane in evoluzione. Gli utenti dovrebbero monitorare l'account ufficiale @wasabi_protocol e i feed delle società di sicurezza per eventuali aggiornamenti.