Wasabi Protocol taper 5 millioner dollar etter at en angriper får tak i deployerens adminnøkkel på tvers av 3 kjeder

Viktige punkter:

• En angriper tappet 4,5–5,5 millioner dollar fra Wasabi Protocol ved å kompromittere deployerens EOA-adminnøkkel 30. april 2026.
• Virtuals Protocol frøs margindepositter umiddelbart etter bruddet, selv om deres egen sikkerhet forble fullt intakt.
• Wasabi Protocol har ikke kommet med noen offentlig uttalelse; brukere må tilbakekalle alle godkjenninger på tvers av Ethereum, Base og Blast.

DeFi-protokollen Wasabi taper 5 millioner dollar i hack av adminnøkkel

Den kompromitterte adressen, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, var den eneste adminnøkkelen som kontrollerte Wasabis Perpmanager-kontrakter. Angriperen skal angivelig ha brukt den til å gi ADMIN_ROLE til en ondsinnet hjelpekontrakt, og deretter gjennomført uautoriserte UUPS-proxyoppgraderinger på Wasabivault-proxyer og Wasabilongpool før sikkerhet og pool-saldoer ble tømt.

Sikkerhetsselskapet Hypernative flagget hendelsen med varsler med høy alvorlighetsgrad på alle tre kjedene. Blockaid, Cyvers og Defimonalerts oppdaget også aktiviteten i sanntid. Hypernative bekreftet at de ikke er en Wasabi-kunde, men oppdaget bruddet uavhengig og lovet en full teknisk analyse.

Angrepet startet rundt 07:48 UTC og pågikk i omtrent to timer. Deployeren ga ADMIN_ROLE til angriper-kontrollerte kontrakter på Ethereum, Base og Blast. En ondsinnet kontrakt kalte deretter strategyDeposit() på sju til åtte WasabiVault-proxyer, og sendte inn en falsk strategi som utløste en drain()-funksjon som returnerte all sikkerhet til angriperen.

Wasabilongpool på Ethereum og Base ble deretter oppgradert til en ondsinnet implementasjon som feide opp gjenværende saldoer. Midler ble konsolidert til ETH, broet der det var nødvendig, og fordelt på tvers av flere adresser. Tidlige rapporter nevnte noe aktivitet knyttet til Tornado Cash.

Det største enkelttapet var angivelig 840,9 WETH, verdt mer enn 1,9 millioner dollar på tidspunktet for angrepet. Andre tappede aktiva inkluderte sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN og bitcoin, i tillegg til Base-kjedeaktiva som VIRTUAL, AERO og cbBTC. Wasabis totale verdi låst (TVL) lå på rundt 8,5 millioner dollar på tvers av kjeder før utnyttelsen, ifølge Defillama-data.

Dette var en svikt i nøkkelhåndtering, ikke en smartkontrakt-sårbarhet. Ingen reentrancy- eller logikkutnyttelser var involvert. Angriperen fikk trolig tak i privatnøkkelen gjennom phishing, skadevare eller direkte tyveri, og misbrukte deretter den oppgraderbare proxy-arkitekturen for å tappe midler uten å utløse vanlige sikkerhetskontroller.

Virtuals Protocol, som muliggjorde margindepositter via Wasabi, handlet raskt etter at bruddet ble oppdaget. Teamet frøs alle margindepositter og bekreftet at deres egen sikkerhet var fullt intakt. Handel, uttak og agentoperasjoner på Virtuals fortsatte uten avbrudd. Teamet advarte brukere mot å signere Wasabi-relaterte transaksjoner.

Wasabi Protocol hadde ikke publisert noen offentlig uttalelse eller hendelsesrapport per de nyeste tilgjengelige dataene. Protokollen har tidligere kommunisert raskt under ikke-relaterte hendelser og har revisjoner fra Zellic og Sherlock, men dette angrepet omgåtte disse beskyttelsene fullstendig.

Brukere med eksponering anbefales å tilbakekalle alle Wasabi-godkjenninger på tvers av Ethereum, Base og Blast umiddelbart. Verktøy som Revoke.cash, Etherscan og Basescan kan hjelpe med å identifisere aktive godkjenninger. Eventuelle gjenværende LP-posisjoner bør tas ut uten forsinkelse, og ingen Wasabi-relaterte transaksjoner bør signeres før teamet bekrefter nøkkelrotasjon og full kontraktsintegritet.

Hendelsen passer inn i et mønster som er sett på tvers av DeFi i 2026: oppgraderbare proxykontrakter kombinert med sentraliserte adminnøkler skaper et enkelt feilpunkt som omgår selv godt revidert kode. Når én nøkkel kontrollerer oppgraderingsrettigheter på tvers av flere kjeder, blir ett kompromiss en hendelse som rammer hele protokollen.

Wasabi-bruddet skjedde ikke i isolasjon. April 2026 har sett mer enn 600 millioner dollar tappet fra DeFi-protokoller på tvers av rundt et dusin bekreftede hendelser, noe som gjør den til en av de verste månedene som er registrert for sektoren. Måneden åpnet 1. april med at angripere tappet omtrent 285 millioner dollar fra Drift Protocol på Solana på under 20 minutter ved å bruke styringsmanipulasjon og oracle-misbruk.

Et annet stort slag kom rundt 18. april da et Layerzero-broangrep traff KelpDAO på Ethereum, og tappet omtrent 292 millioner dollar i rsETH og utløste over 10 milliarder dollar i påfølgende smitteeffekter på tvers av utlånsplattformer, inkludert Aave. Mindre angrep traff gjennom måneden Silo Finance, Cow Swap, Grinex, Rhea Finance og Aftermath Finance, blant andre.

Mønsteret på tvers av nesten alle hendelsene peker bort fra feil på kodenivå og mot kompromitterte adminnøkler, bro-svakheter og risiko ved oppgraderbare proxyer, som avdekker sentraliserte kontrollpunkter som revisjoner alene ikke kan beskytte mot.

Wasabi-situasjonen er fortsatt aktiv. Brukere bør følge den offisielle @wasabi_protocol-kontoen og sikkerhetsselskapenes kanaler for oppdateringer.