O Protocolo Wasabi sofre perda de US$ 5 milhões após invasor obter a chave de administrador do implantador em três cadeias

Pontos principais:

• Um invasor retirou entre US$ 4,5 milhões e US$ 5,5 milhões do Wasabi Protocol ao comprometer a chave de administrador da EOA do implantador em 30 de abril de 2026.
• O Protocolo Virtuals congelou os depósitos de margem imediatamente após a violação, embora sua própria segurança tenha permanecido totalmente intacta.
• O Wasabi Protocol não emitiu uma declaração pública; os usuários devem revogar todas as aprovações no Ethereum, Base e Blast.

Protocolo DeFi Wasabi perde US$ 5 milhões em ataque à chave de administração

O endereço comprometido, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, era a única chave de administração que controlava os contratos Perpmanager do Wasabi. O invasor teria usado essa chave para conceder a função ADMIN_ROLE a um contrato auxiliar malicioso e, em seguida, executou atualizações não autorizadas de proxy UUPS nos proxies do Wasabivault e no Wasabilongpool antes de retirar as garantias e os saldos dos pools.

A empresa de segurança Hypernative sinalizou o incidente com alertas de alta gravidade em todas as três cadeias. Blockaid, Cyvers e Defimonalerts também detectaram a atividade em tempo real. A Hypernative confirmou que não é cliente da Wasabi, mas detectou a violação de forma independente e se comprometeu a realizar uma análise técnica completa.

O ataque começou por volta das 07h48 UTC e durou aproximadamente duas horas. O implementador concedeu ADMIN_ROLE a contratos controlados pelo invasor na Ethereum, Base e Blast. Um contrato malicioso então chamou strategyDeposit() em sete a oito proxies do WasabiVault, passando uma estratégia falsa que acionou uma função drain(), devolvendo todas as garantias ao invasor.

O Wasabilongpool na Ethereum e na Base foi então atualizado para uma implementação maliciosa que retirou os saldos restantes. Os fundos foram consolidados em ETH, transferidos por ponte onde necessário e distribuídos por vários endereços. Relatórios iniciais observaram alguma atividade ligada ao Tornado Cash.

A maior perda individual foi, segundo relatos, de 840,9 WETH, no valor de mais de US$ 1,9 milhão no momento do ataque. Outros ativos drenados incluíram sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN e bitcoin, juntamente com ativos da cadeia Base, como VIRTUAL, AERO e cbBTC. O valor total bloqueado (TVL) do Wasabi era de aproximadamente US$ 8,5 milhões em todas as cadeias antes da exploração, de acordo com dados da Defillama.

Trata-se de uma falha no gerenciamento de chaves, não de uma vulnerabilidade no contrato inteligente. Não houve exploração de reentrada ou de falhas lógicas. O invasor provavelmente obteve a chave privada por meio de phishing, malware ou roubo direto e, em seguida, abusou da arquitetura de proxy atualizável para drenar fundos sem acionar as verificações de segurança convencionais.

O Virtuals Protocol, que viabilizava depósitos de margem por meio do Wasabi, agiu rapidamente após a detecção da violação. A equipe congelou todos os depósitos de margem e confirmou que sua própria segurança estava totalmente intacta. As negociações, retiradas e operações de agentes no Virtuals continuaram sem interrupção. A equipe alertou os usuários para evitarem assinar quaisquer transações relacionadas ao Wasabi.

O Wasabi Protocol não havia emitido uma declaração pública ou postagem sobre o incidente até os dados mais recentes disponíveis. O protocolo já havia se comunicado rapidamente durante incidentes não relacionados e possui auditorias da Zellic e da Sherlock, mas este ataque contornou totalmente essas proteções.

Recomenda-se que os usuários expostos revoguem imediatamente todas as aprovações do Wasabi no Ethereum, Base e Blast. Ferramentas como Revoke.cash, Etherscan e Basescan podem ajudar a identificar aprovações ativas. Quaisquer posições de LP restantes devem ser retiradas sem demora, e nenhuma transação relacionada ao Wasabi deve ser assinada até que a equipe confirme a rotação de chaves e a integridade total do contrato.

O incidente se encaixa em um padrão observado em toda a DeFi em 2026: contratos proxy atualizáveis combinados com chaves de administração centralizadas criam um ponto único de falha que contorna até mesmo códigos bem auditados. Quando uma única chave controla as permissões de atualização em várias cadeias, um único comprometimento se torna um evento que afeta todo o protocolo.

A violação do Wasabi não ocorreu isoladamente. Abril de 2026 viu mais de US$ 600 milhões serem drenados de protocolos DeFi em cerca de uma dúzia de incidentes confirmados, tornando-se um dos piores meses já registrados para o setor. O mês começou em 1º de abril com invasores drenando aproximadamente US$ 285 milhões do Drift Protocol na Solana em menos de 20 minutos, usando manipulação de governança e abuso de oráculo.

Um segundo grande golpe ocorreu por volta de 18 de abril, quando uma exploração da ponte Layerzero atingiu o KelpDAO na Ethereum, drenando cerca de US$ 292 milhões em rsETH e provocando um efeito cascata de mais de US$ 10 bilhões em plataformas de empréstimo, incluindo a Aave. Ataques menores ocorreram ao longo do mês contra a Silo Finance, Cow Swap, Grinex, Rhea Finance e Aftermath Finance, entre outras.

O padrão em quase todos os incidentes aponta para longe de bugs no nível do código e em direção a comprometimentos de chaves de administrador, vulnerabilidades de pontes e riscos de proxies atualizáveis, expondo pontos de controle centralizados contra os quais as auditorias por si só não podem proteger.

A situação da Wasabi continua ativa. Os usuários devem acompanhar a conta oficial @wasabi_protocol e os feeds das empresas de segurança para obter atualizações.