공격자가 3개 체인에 걸쳐 배포자 관리자 키를 탈취하면서 와사비 프로토콜, 500만 달러 손실

• 2026년 4월 30일, 한 공격자가 와사비 프로토콜의 디플로이어 EOA 관리자 키를 탈취하여 450만 달러에서 550만 달러를 빼돌렸습니다.
• 이번 침해 사고 직후 버츄얼스 프로토콜은 마진 예치금을 즉시 동결했으나, 자체 보안 시스템은 완벽하게 유지되었습니다.
• 와사비 프로토콜은 아직 공식 성명을 발표하지 않았으며, 사용자들은 이더리움, 베이스, 블라스트 전반에 걸쳐 모든 승인을 취소해야 합니다.

DeFi 프로토콜 와사비, 관리자 키 해킹으로 500만 달러 손실

해킹당한 주소(0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8)는 와사비의 퍼프매니저(Perpmanager) 계약을 통제하는 유일한 관리자 키였습니다. 보도에 따르면 공격자는 이 키를 사용하여 악성 헬퍼 계약에 ADMIN_ROLE 권한을 부여한 뒤, 와사비볼트(Wasabivault) 프록시와 와사빌롱풀(Wasabilongpool)에서 무단 UUPS 프록시 업그레이드를 실행하고 담보 및 풀 잔액을 모두 빼돌렸습니다.

보안 업체 하이퍼네이티브(Hypernative)는 세 체인 모두에 걸쳐 이 사건을 고위험 경보로 표시했습니다. 블로케이드(Blockaid), 사이버스(Cyvers), 디파이모널러츠(Defimonalerts) 역시 이 활동을 실시간으로 탐지했습니다. 하이퍼네이티브는 자사가 와사비 고객이 아니며 독립적으로 침해 사실을 탐지했다고 밝히고, 철저한 기술적 분석을 수행하겠다고 약속했습니다.

공격은 UTC 기준 오전 7시 48분경 시작되어 약 2시간 동안 지속되었습니다. 배포자는 이더리움, 베이스(Base), 블래스트(Blast)에서 공격자가 제어하는 계약에 ADMIN_ROLE 권한을 부여했습니다. 이후 악성 계약이 7~8개의 와사비볼트(WasabiVault) 프록시에 strategyDeposit()를 호출하며, 모든 담보를 공격자에게 반환하는 drain() 함수를 트리거하는 가짜 전략을 전달했습니다.

이후 이더리움과 베이스(Base)상의 와사비롱풀(Wasabilongpool)이 악성 구현체로 업그레이드되어 잔여 잔액을 모두 빼돌렸습니다. 자금은 ETH로 통합된 후 필요한 경우 브릿지되어 여러 주소로 분산되었습니다. 초기 보고서에 따르면 토네이도 캐시(Tornado Cash)와 관련된 일부 활동이 포착되었습니다. 가장 큰 단일 손실액은 840.9 WETH로, 공격 당시 190만 달러 이상의 가치가 있었던 것으로 알려졌습니다. 그 밖에도 sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN, 비트코인 등 다양한 자산이 유출되었으며, VIRTUAL, AERO, cbBTC와 같은 Base 체인 자산도 포함되었습니다. Defillama 데이터에 따르면, 이번 공격 전 와사비(Wasabi)의 총 예치 가치(TVL)는 체인 전체에서 약 850만 달러 수준이었습니다.

이번 사건은 스마트 계약의 취약점이 아닌 키 관리 실패로 인한 것이었습니다. 재진입(reentrancy)이나 로직 악용은 발생하지 않았습니다. 공격자는 피싱, 악성코드 또는 직접적인 절도를 통해 개인 키를 입수한 뒤, 업그레이드 가능한 프록시 아키텍처를 악용하여 일반적인 보안 점검을 우회하고 자금을 빼돌린 것으로 보입니다.

와사비를 통해 마진 예치 기능을 제공하던 버추얼스 프로토콜(Virtuals Protocol)은 침해 사실이 발견되자 신속히 대응했습니다. 팀은 모든 마진 예치를 동결하고 자체 보안 시스템이 완벽하게 유지되고 있음을 확인했습니다. 버추얼스에서의 거래, 출금 및 에이전트 운영은 차질 없이 계속되었습니다. 팀은 사용자에게 와사비 관련 거래 서명을 피할 것을 경고했습니다.

최신 정보 기준, 와사비 프로토콜은 아직 공식 성명이나 사고 관련 게시물을 발표하지 않았습니다. 해당 프로토콜은 과거 관련 없는 사고 발생 시 신속히 대응해 왔으며 젤릭(Zellic)과 셜록(Sherlock)의 감사 결과를 보유하고 있으나, 이번 공격은 이러한 보호 장치를 완전히 우회했습니다. 영향을 받은 사용자는 이더리움, 베이스(Base), 블래스트(Blast) 전반에 걸쳐 모든 와사비 승인 권한을 즉시 취소할 것을 권장합니다. Revoke.cash, 이더스캔(Etherscan), 베이스스캔(Basescan)과 같은 도구를 활용하면 활성화된 승인 권한을 확인할 수 있습니다. 남아 있는 LP 포지션은 지체 없이 인출해야 하며, 팀이 키 교체 및 계약의 완전한 무결성을 확인할 때까지 와사비 관련 거래에 서명해서는 안 됩니다. 이번 사건은 2026년 디파이(DeFi) 전반에서 관찰된 패턴과 일치합니다. 업그레이드 가능한 프록시 계약과 중앙 집중식 관리 키가 결합되면, 철저한 감사를 거친 코드조차 우회할 수 있는 단일 실패 지점이 생성됩니다. 하나의 키가 여러 체인에 걸친 업그레이드 권한을 통제할 경우, 단 한 번의 침해만으로도 프로토콜 전체에 영향을 미치는 사건이 발생합니다.

Wasabi 침해 사고는 단독으로 발생한 것이 아닙니다. 2026년 4월에는 약 12건의 확인된 사고를 통해 DeFi 프로토콜에서 6억 달러 이상이 유출되었으며, 이는 해당 분야 역사상 최악의 달 중 하나로 기록되었습니다. 4월 1일, 공격자들은 거버넌스 조작과 오라클 악용을 통해 솔라나(Solana)상의 Drift Protocol에서 20분도 채 되지 않아 약 2억 8,500만 달러를 탈취하며 이번 달의 첫 번째 공격을 시작했습니다.

두 번째 큰 타격은 4월 18일경 이더리움의 켈프DAO(KelpDAO)를 겨냥한 레이어제로(Layerzero) 브리지 악용 공격으로, 약 2억 9,200만 달러 상당의 rsETH가 유출되었고, 이를 계기로 Aave를 비롯한 대출 플랫폼 전반에 걸쳐 100억 달러 이상의 연쇄 피해가 발생했습니다. 그 외에도 실로 파이낸스(Silo Finance), 카우 스왑(Cow Swap), 그리넥스(Grinex), 리아 파이낸스(Rhea Finance), 애프터매스 파이낸스(Aftermath Finance) 등에서 소규모 피해가 한 달 내내 이어졌습니다.

거의 모든 사건에서 나타나는 패턴은 코드 수준의 버그보다는 관리자 키 유출, 브리지 취약점, 업그레이드 가능한 프록시 위험을 가리키며, 이는 감사만으로는 방어할 수 없는 중앙 집중식 제어 지점을 노출시키고 있습니다. 와사비(Wasabi) 사태는 여전히 진행 중입니다. 사용자들은 공식 @wasabi_protocol 계정과 보안 업체의 피드를 통해 최신 소식을 확인해야 합니다.