Protokol Wasabi Kehilangan $5J Selepas Penyerang Merampas Kunci Pentadbir Deployer Merentasi 3 Rantaian

Intipati Utama:

• Seorang penyerang menguras $4.5J hingga $5.5J daripada Wasabi Protocol dengan mengkompromi kunci admin EOA deployer pada 30 April 2026.
• Virtuals Protocol membekukan deposit margin serta-merta selepas pelanggaran, walaupun keselamatannya sendiri kekal utuh sepenuhnya.
• Wasabi Protocol belum mengeluarkan kenyataan awam; pengguna mesti membatalkan semua kelulusan merentas Ethereum, Base, dan Blast.

Protokol DeFi Wasabi Kehilangan $5J dalam Penggodaman Kunci Admin

Alamat yang dikompromi, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, ialah satu-satunya kunci admin yang mengawal kontrak Perpmanager Wasabi. Penyerang dilaporkan menggunakannya untuk memberikan ADMIN_ROLE kepada kontrak pembantu berniat jahat, kemudian melaksanakan naik taraf proksi UUPS tanpa kebenaran pada proksi Wasabivault serta Wasabilongpool sebelum menyapu kolateral dan baki kumpulan.

Firma keselamatan Hypernative menandakan insiden ini dengan amaran tahap keterukan tinggi merentas ketiga-tiga rantaian. Blockaid, Cyvers, dan Defimonalerts turut mengesan aktiviti tersebut secara masa nyata. Hypernative mengesahkan ia bukan pelanggan Wasabi tetapi mengesan pelanggaran itu secara bebas dan berjanji akan menyediakan analisis teknikal penuh.

Serangan bermula sekitar 07:48 UTC dan berlanjutan kira-kira dua jam. Deployer memberikan ADMIN_ROLE kepada kontrak yang dikawal penyerang di Ethereum, Base, dan Blast. Seterusnya, sebuah kontrak berniat jahat memanggil strategyDeposit() pada tujuh hingga lapan proksi WasabiVault, dengan menghantar strategi palsu yang mencetuskan fungsi drain() yang memulangkan semua kolateral kepada penyerang.

Wasabilongpool di Ethereum dan Base kemudian dinaik taraf kepada pelaksanaan berniat jahat yang menyapu baki yang tinggal. Dana disatukan kepada ETH, dijambatankan jika perlu, dan diagihkan merentas beberapa alamat. Laporan awal menyatakan sebahagian aktiviti dikaitkan dengan Tornado Cash.

Kehilangan tunggal terbesar dilaporkan ialah 840.9 WETH, bernilai lebih daripada $1.9 juta pada masa serangan. Aset lain yang dikuras termasuk sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN, dan bitcoin, bersama aset rantaian Base seperti VIRTUAL, AERO, dan cbBTC. Jumlah nilai terkunci (TVL) Wasabi berada sekitar $8.5 juta merentas rantaian sebelum eksploit, menurut data Defillama.

Ini ialah kegagalan pengurusan kunci, bukan kelemahan kontrak pintar. Tiada eksploit reentrancy atau logik terlibat. Penyerang berkemungkinan memperoleh kunci peribadi melalui pancingan data, perisian hasad, atau kecurian langsung, kemudian menyalahgunakan seni bina proksi boleh dinaik taraf untuk menguras dana tanpa mencetuskan pemeriksaan keselamatan konvensional.

Virtuals Protocol, yang menggerakkan deposit margin melalui Wasabi, bertindak pantas selepas pelanggaran dikesan. Pasukan itu membekukan semua deposit margin dan mengesahkan keselamatannya sendiri kekal utuh sepenuhnya. Dagangan, pengeluaran, dan operasi ejen di Virtuals diteruskan tanpa gangguan. Pasukan itu memberi amaran kepada pengguna supaya mengelakkan daripada menandatangani sebarang transaksi berkaitan Wasabi.

Wasabi Protocol belum mengeluarkan kenyataan awam atau catatan insiden setakat data terkini yang tersedia. Protokol ini sebelum ini berkomunikasi dengan pantas semasa insiden yang tidak berkaitan dan mempunyai audit daripada Zellic dan Sherlock, namun serangan ini memintas perlindungan tersebut sepenuhnya.

Pengguna yang terdedah disarankan untuk membatalkan semua kelulusan Wasabi merentas Ethereum, Base, dan Blast dengan segera. Alat seperti Revoke.cash, Etherscan, dan Basescan boleh membantu mengenal pasti kelulusan yang masih aktif. Sebarang posisi LP yang masih berbaki harus dikeluarkan tanpa berlengah, dan tiada transaksi berkaitan Wasabi harus ditandatangani sehingga pasukan mengesahkan penukaran kunci dan integriti kontrak sepenuhnya.

Insiden ini sepadan dengan corak yang dilihat merentas DeFi pada 2026: kontrak proksi boleh dinaik taraf yang dipadankan dengan kunci admin berpusat mewujudkan satu titik kegagalan tunggal yang memintas walaupun kod yang telah diaudit dengan baik. Apabila satu kunci mengawal keizinan naik taraf merentas pelbagai rantaian, satu kompromi menjadi peristiwa seluruh protokol.

Pelanggaran Wasabi tidak berlaku secara terasing. April 2026 menyaksikan lebih daripada $600 juta dikuras daripada protokol DeFi merentas kira-kira sedozen insiden yang disahkan, menjadikannya salah satu bulan terburuk dalam rekod bagi sektor ini. Bulan itu bermula pada 1 April apabila penyerang menguras kira-kira $285 juta daripada Drift Protocol di Solana dalam masa kurang 20 minit menggunakan manipulasi tadbir urus dan penyalahgunaan oracle.

Satu lagi pukulan besar berlaku sekitar 18 April apabila eksploit jambatan Layerzero menjejaskan KelpDAO di Ethereum, menguras kira-kira $292 juta dalam rsETH dan mencetuskan lebih $10 bilion penularan hiliran merentas platform pinjaman, termasuk Aave. Serangan yang lebih kecil berlaku sepanjang bulan ke atas Silo Finance, Cow Swap, Grinex, Rhea Finance, dan Aftermath Finance, antara lain.

Corak merentas hampir setiap insiden menunjukkan punca lebih menjauhi pepijat peringkat kod dan lebih kepada kompromi kunci admin, kelemahan jambatan, dan risiko proksi boleh dinaik taraf, mendedahkan titik kawalan berpusat yang audit semata-mata tidak dapat lindungi.

Situasi Wasabi masih aktif. Pengguna harus memantau akaun rasmi @wasabi_protocol dan suapan firma keselamatan untuk kemas kini.