Protokół Wasabi stracił 5 mln dolarów po tym, jak haker przejął klucz administratora Deployer w trzech łańcuchach

Najważniejsze informacje:

• 30 kwietnia 2026 r. atakujący wyciągnął od 4,5 do 5,5 mln dolarów z Wasabi Protocol, przejmując klucz administratora EOA deployera.
• Protokół Virtuals natychmiast po naruszeniu zablokował depozyty zabezpieczające, choć jego własne zabezpieczenia pozostały w pełni nienaruszone.
• Wasabi Protocol nie wydało publicznego oświadczenia; użytkownicy muszą cofnąć wszystkie autoryzacje w sieciach Ethereum, Base i Blast.

Protokół DeFi Wasabi traci 5 mln dolarów w wyniku włamania do klucza administracyjnego

Narażony adres, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, był jedynym kluczem administratora kontrolującym kontrakty Perpmanager Wasabi. Napastnik rzekomo użył go do przyznania roli ADMIN_ROLE złośliwemu kontraktowi pomocniczemu, a następnie wykonał nieautoryzowane aktualizacje proxy UUPS na proxy Wasabivault i Wasabilongpool, po czym zgrabił zabezpieczenia i salda pul.

Firma zabezpieczająca Hypernative zgłosiła ten incydent, wysyłając alerty o wysokim poziomie zagrożenia we wszystkich trzech łańcuchach. Blockaid, Cyvers i Defimonalerts również wykryły tę aktywność w czasie rzeczywistym. Hypernative potwierdziło, że nie jest klientem Wasabi, ale wykryło naruszenie niezależnie i zobowiązało się do przeprowadzenia pełnej analizy technicznej.

Atak rozpoczął się około godziny 07:48 czasu UTC i trwał około dwóch godzin. Osoba wdrażająca przyznała rolę ADMIN_ROLE kontraktom kontrolowanym przez atakującego w sieciach Ethereum, Base i Blast. Następnie złośliwy kontrakt wywołał funkcję strategyDeposit() na siedmiu lub ośmiu proxy WasabiVault, przekazując fałszywą strategię, która uruchomiła funkcję drain(), zwracającą całe zabezpieczenie atakującemu.

Wasabilongpool na Ethereum i Base został następnie zaktualizowany do złośliwej implementacji, która wyczyściła pozostałe salda. Środki zostały skonsolidowane w ETH, w razie potrzeby przeniesione za pomocą mostów i rozdzielone na wiele adresów. Wczesne raporty odnotowały pewną aktywność powiązaną z Tornado Cash.

Największa pojedyncza strata wyniosła podobno 840,9 WETH, o wartości ponad 1,9 miliona dolarów w momencie ataku. Inne wyczerpane aktywa obejmowały sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN i bitcoin, a także aktywa łańcucha Base, takie jak VIRTUAL, AERO i cbBTC. Według danych Defillama, całkowita wartość zablokowana (TVL) Wasabi wynosiła około 8,5 mln dolarów w różnych łańcuchach przed atakiem.

Była to awaria zarządzania kluczami, a nie luka w smart kontrakcie. Nie doszło do wykorzystania luk typu reentrancy ani logicznych. Atakujący prawdopodobnie zdobył klucz prywatny poprzez phishing, złośliwe oprogramowanie lub bezpośrednią kradzież, a następnie nadużył architektury proxy z możliwością aktualizacji, aby wyprowadzić środki bez uruchamiania standardowych kontroli bezpieczeństwa.

Virtuals Protocol, który obsługiwał depozyty zabezpieczające za pośrednictwem Wasabi, zareagował szybko po wykryciu naruszenia. Zespół zamroził wszystkie depozyty zabezpieczające i potwierdził, że jego własne zabezpieczenia pozostały w pełni nienaruszone. Handel, wypłaty i operacje agentów w Virtuals przebiegały bez zakłóceń. Zespół ostrzegł użytkowników, aby unikali podpisywania jakichkolwiek transakcji związanych z Wasabi.

Według najnowszych dostępnych danych protokół Wasabi nie wydał publicznego oświadczenia ani nie opublikował wpisu dotyczącego incydentu. Protokół ten wcześniej szybko reagował podczas niepowiązanych incydentów i posiada audyty przeprowadzone przez Zellic i Sherlock, ale ten atak całkowicie ominął te zabezpieczenia.

Użytkownikom narażonym na ryzyko zaleca się natychmiastowe cofnięcie wszystkich zatwierdzeń Wasabi w sieciach Ethereum, Base i Blast. Narzędzia takie jak Revoke.cash, Etherscan i Basescan mogą pomóc w identyfikacji aktywnych zatwierdzeń. Wszelkie pozostałe pozycje LP należy bezzwłocznie wycofać i nie należy podpisywać żadnych transakcji związanych z Wasabi, dopóki zespół nie potwierdzi rotacji kluczy i pełnej integralności kontraktu.

Incydent ten wpisuje się w schemat obserwowany w całym sektorze DeFi w 2026 r.: aktualizowane kontrakty proxy w połączeniu ze scentralizowanymi kluczami administracyjnymi tworzą pojedynczy punkt awarii, który omija nawet dobrze zweryfikowany kod. Gdy jeden klucz kontroluje uprawnienia do aktualizacji w wielu łańcuchach, pojedyncze naruszenie bezpieczeństwa staje się zdarzeniem o zasięgu całego protokołu.

Naruszenie bezpieczeństwa Wasabi nie było odosobnionym przypadkiem. W kwietniu 2026 r. z protokołów DeFi wyprowadzono ponad 600 mln dolarów w wyniku około tuzina potwierdzonych incydentów, co czyni ten miesiąc jednym z najgorszych w historii sektora. Miesiąc rozpoczął się 1 kwietnia, kiedy to atakujący wyprowadzili około 285 mln dolarów z protokołu Drift na Solanie w mniej niż 20 minut, wykorzystując manipulację mechanizmami zarządzania i nadużycie oracle.

Drugi poważny cios nastąpił około 18 kwietnia, kiedy to exploit mostu Layerzero uderzył w KelpDAO na Ethereum, wyprowadzając około 292 milionów dolarów w rsETH i wywołując efekt domina o wartości ponad 10 miliardów dolarów na platformach pożyczkowych, w tym Aave. Mniejsze ataki miały miejsce przez cały miesiąc, między innymi na Silo Finance, Cow Swap, Grinex, Rhea Finance i Aftermath Finance.

Wzorzec występujący w niemal każdym incydencie wskazuje nie na błędy na poziomie kodu, a na naruszenie kluczy administracyjnych, słabości mostów oraz ryzyko związane z proxy, które można zaktualizować, ujawniając scentralizowane punkty kontroli, przed którymi same audyty nie są w stanie uchronić.

Sytuacja Wasabi pozostaje aktywna. Użytkownicy powinni śledzić oficjalne konto @wasabi_protocol oraz kanały firm zajmujących się bezpieczeństwem w celu uzyskania aktualnych informacji.