Wasabi Protocol lijdt verlies van 5 miljoen dollar nadat een aanvaller de beheerderssleutel van de implementator op drie blockchains heeft buitgemaakt

Belangrijkste punten:

• Een aanvaller heeft op 30 april 2026 4,5 tot 5,5 miljoen dollar van Wasabi Protocol gestolen door de EOA-beheerderssleutel van de deployer te compromitteren.
• Virtuals Protocol bevroor de margestortingen onmiddellijk na de inbreuk, hoewel de eigen beveiliging volledig intact bleef.
• Wasabi Protocol heeft geen openbare verklaring afgegeven; gebruikers moeten alle goedkeuringen op Ethereum, Base en Blast intrekken.

DeFi-protocol Wasabi verliest $ 5 miljoen door hack van beheerderssleutel

Het gecompromitteerde adres, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, was de enige beheerderssleutel die de Perpmanager-contracten van Wasabi beheerste. De aanvaller zou deze hebben gebruikt om de ADMIN_ROLE toe te kennen aan een kwaadaardig helpercontract, waarna hij ongeautoriseerde UUPS-proxy-upgrades uitvoerde op Wasabivault-proxies en de Wasabilongpool, alvorens het onderpand en de poolsaldi leeg te halen.

Beveiligingsbedrijf Hypernative signaleerde het incident met waarschuwingen van hoge ernst op alle drie de ketens. Blockaid, Cyvers en Defimonalerts detecteerden de activiteit ook in realtime. Hypernative bevestigde dat het geen klant van Wasabi is, maar de inbreuk onafhankelijk heeft gedetecteerd en beloofde een volledige technische analyse.

De aanval begon rond 07:48 UTC en duurde ongeveer twee uur. De deployer kende ADMIN_ROLE toe aan door de aanvaller gecontroleerde contracten op Ethereum, Base en Blast. Een kwaadaardig contract riep vervolgens strategyDeposit() aan op zeven tot acht WasabiVault-proxies, waarbij een valse strategie werd doorgegeven die een drain()-functie activeerde die alle onderpand terugstuurde naar de aanvaller.

De Wasabilongpool op Ethereum en Base werd vervolgens geüpgraded naar een kwaadaardige implementatie die de resterende saldi wegvaagde. De fondsen werden geconsolideerd in ETH, waar nodig overgezet en verdeeld over meerdere adressen. Vroege rapporten meldden enige activiteit die verband hield met Tornado Cash.

Het grootste individuele verlies bedroeg naar verluidt 840,9 WETH, ter waarde van meer dan 1,9 miljoen dollar op het moment van de aanval. Andere leeggehaalde activa waren onder meer sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN en bitcoin, samen met Base-chain-activa zoals VIRTUAL, AERO en cbBTC. De totale waarde van Wasabi (TVL) bedroeg volgens gegevens van Defillama ongeveer 8,5 miljoen dollar over alle chains heen vóór de exploit.

Dit was een fout in het sleutelbeheer, geen kwetsbaarheid in het smart contract. Er was geen sprake van reentrancy of misbruik van de logica. De aanvaller heeft de privésleutel waarschijnlijk verkregen via phishing, malware of directe diefstal, en heeft vervolgens misbruik gemaakt van de upgradebare proxy-architectuur om geld weg te sluizen zonder dat de gebruikelijke beveiligingscontroles werden geactiveerd.

Virtuals Protocol, dat via Wasabi margin-stortingen mogelijk maakte, handelde snel nadat de inbreuk was ontdekt. Het team bevroor alle margin-stortingen en bevestigde dat zijn eigen beveiliging volledig intact was. Handel, opnames en agentactiviteiten op Virtuals gingen zonder onderbreking door. Het team waarschuwde gebruikers om geen Wasabi-gerelateerde transacties te ondertekenen.

Wasabi Protocol had op het moment van de laatste beschikbare gegevens nog geen openbare verklaring of bericht over het incident uitgegeven. Het protocol heeft in het verleden snel gecommuniceerd tijdens niet-gerelateerde incidenten en beschikt over audits van Zellic en Sherlock, maar deze aanval omzeilde die beveiligingen volledig.

Gebruikers die hierdoor zijn getroffen, wordt aangeraden om alle Wasabi-goedkeuringen op Ethereum, Base en Blast onmiddellijk in te trekken. Tools zoals Revoke.cash, Etherscan en Basescan kunnen helpen bij het identificeren van actieve goedkeuringen. Eventuele resterende LP-posities moeten onverwijld worden opgenomen en er mogen geen Wasabi-gerelateerde transacties worden ondertekend totdat het team de sleutelrotatie en de volledige contractintegriteit heeft bevestigd.

Het incident past in een patroon dat in 2026 in de hele DeFi-sector te zien was: upgradebare proxy-contracten in combinatie met gecentraliseerde beheerderssleutels creëren een single point of failure dat zelfs goed geauditeerde code omzeilt. Wanneer één sleutel de upgrade-toestemmingen voor meerdere ketens beheert, wordt één enkele inbreuk een protocolbrede gebeurtenis.

De inbreuk bij Wasabi stond niet op zichzelf. In april 2026 is meer dan 600 miljoen dollar weggehaald uit DeFi-protocollen via ongeveer een dozijn bevestigde incidenten, waardoor het een van de slechtste maanden ooit voor de sector is geworden. De maand begon op 1 april toen aanvallers in minder dan 20 minuten ongeveer 285 miljoen dollar weghaalden uit het Drift Protocol op Solana door middel van manipulatie van het bestuurssysteem en misbruik van orakels.

Een tweede grote klap kwam rond 18 april, toen een Layerzero-bridge-exploit KelpDAO op Ethereum trof, waarbij ongeveer 292 miljoen dollar aan rsETH werd weggehaald en meer dan 10 miljard dollar aan downstream-besmetting werd veroorzaakt op verschillende kredietplatforms, waaronder Aave. Kleinere aanvallen vonden de hele maand plaats op onder andere Silo Finance, Cow Swap, Grinex, Rhea Finance en Aftermath Finance.

Het patroon bij bijna elk incident wijst niet op bugs op codeniveau, maar op gecompromitteerde beheerderssleutels, zwakke plekken in bridges en risico's met betrekking tot upgradebare proxies, waardoor gecentraliseerde controlepunten worden blootgelegd waartegen audits alleen geen bescherming bieden.

De situatie rond Wasabi is nog steeds actueel. Gebruikers moeten het officiële @wasabi_protocol-account en de feeds van beveiligingsbedrijven in de gaten houden voor updates.