Protocolul Wasabi pierde 5 milioane de dolari după ce un atacator a pus mâna pe cheia de administrator a platformei de implementare pe trei lanțuri

Puncte cheie:

• Un atacator a sustras între 4,5 și 5,5 milioane de dolari din Wasabi Protocol prin compromiterea cheii de administrator EOA a deployerului pe 30 aprilie 2026.
• Virtuals Protocol a înghețat depozitele de marjă imediat după breșă, deși propria sa securitate a rămas intactă.
• Wasabi Protocol nu a emis o declarație publică; utilizatorii trebuie să revocă toate aprobările de pe Ethereum, Base și Blast.

Protocolul DeFi Wasabi pierde 5 milioane de dolari în urma unui atac asupra cheii de administrare

Adresa compromisă, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, era singura cheie de administrator care controla contractele Perpmanager ale Wasabi. Se pare că atacatorul a folosit-o pentru a acorda rolul ADMIN_ROLE unui contract de asistență rău intenționat, apoi a executat actualizări neautorizate ale proxy-urilor UUPS pe proxy-urile Wasabivault și Wasabilongpool înainte de a fura garanțiile și soldurile fondurilor comune.

Firma de securitate Hypernative a semnalat incidentul cu alerte de severitate ridicată pe toate cele trei lanțuri. Blockaid, Cyvers și Defimonalerts au detectat, de asemenea, activitatea în timp real. Hypernative a confirmat că nu este client Wasabi, dar a detectat breșa în mod independent și s-a angajat să efectueze o analiză tehnică completă.

Atacul a început în jurul orei 07:48 UTC și a durat aproximativ două ore. Persoana care a lansat atacul a acordat rolul ADMIN_ROLE contractelor controlate de atacator pe Ethereum, Base și Blast. Un contract rău intenționat a apelat apoi strategyDeposit() pe șapte-opt proxy-uri WasabiVault, transmitând o strategie falsă care a declanșat o funcție drain() care a returnat toate garanțiile atacatorului.

Wasabilongpool de pe Ethereum și Base a fost apoi actualizat la o implementare rău intenționată care a golit soldurile rămase. Fondurile au fost consolidate în ETH, transferate acolo unde a fost necesar și distribuite pe mai multe adrese. Rapoartele inițiale au semnalat o anumită activitate legată de Tornado Cash.

Cea mai mare pierdere individuală a fost, conform rapoartelor, de 840,9 WETH, în valoare de peste 1,9 milioane de dolari la momentul atacului. Alte active golite au inclus sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN și bitcoin, împreună cu active de pe lanțul Base, precum VIRTUAL, AERO și cbBTC. Valoarea totală blocată (TVL) a Wasabi se ridica la aproximativ 8,5 milioane de dolari pe toate lanțurile înainte de exploatare, conform datelor Defillama.

Aceasta a fost o eroare de gestionare a cheilor, nu o vulnerabilitate a contractului inteligent. Nu au fost implicate exploatări de reentrare sau de logică. Atacatorul a obținut probabil cheia privată prin phishing, malware sau furt direct, apoi a abuzat de arhitectura proxy actualizabilă pentru a sustrage fonduri fără a declanșa verificările de securitate convenționale.

Virtuals Protocol, care a alimentat depozitele de marjă prin Wasabi, a acționat rapid după ce breșa a fost detectată. Echipa a înghețat toate depozitele de marjă și a confirmat că propria sa securitate era intactă. Tranzacționarea, retragerile și operațiunile agenților pe Virtuals au continuat fără întreruperi. Echipa a avertizat utilizatorii să evite semnarea oricăror tranzacții legate de Wasabi.

Wasabi Protocol nu a emis o declarație publică sau o postare privind incidentul până la data celor mai recente informații disponibile. Protocolul a comunicat rapid în trecut în timpul incidentelor necorelate și deține audituri de la Zellic și Sherlock, dar acest atac a ocolit complet aceste protecții.

Utilizatorilor expuși li se recomandă să revocă imediat toate aprobările Wasabi pe Ethereum, Base și Blast. Instrumente precum Revoke.cash, Etherscan și Basescan pot ajuta la identificarea aprobărilor active. Orice poziții LP rămase ar trebui retrase fără întârziere, iar nicio tranzacție legată de Wasabi nu ar trebui semnată până când echipa nu confirmă rotația cheilor și integritatea completă a contractului.

Incidentul se înscrie într-un tipar observat în DeFi în 2026: contractele proxy actualizabile, asociate cu chei de administrare centralizate, creează un singur punct de eșec care ocolește chiar și codul bine auditat. Când o singură cheie controlează permisiunile de actualizare pe mai multe lanțuri, o singură compromitere devine un eveniment la nivel de protocol.

Breșa de securitate Wasabi nu a avut loc izolat. În aprilie 2026, peste 600 de milioane de dolari au fost sustrase din protocoalele DeFi în cadrul a aproximativ o duzină de incidente confirmate, făcând din această lună una dintre cele mai grave din istorie pentru acest sector. Luna a început pe 1 aprilie, când atacatorii au sustras aproximativ 285 de milioane de dolari din Drift Protocol pe Solana în mai puțin de 20 de minute, folosind manipularea guvernanței și abuzul oracolului.

O a doua lovitură majoră a venit în jurul datei de 18 aprilie, când o exploatare a podului Layerzero a lovit KelpDAO pe Ethereum, sustrăgând aproximativ 292 de milioane de dolari în rsETH și declanșând o contagiune în aval de peste 10 miliarde de dolari pe platformele de împrumut, inclusiv Aave. Lovituri mai mici au avut loc pe tot parcursul lunii asupra Silo Finance, Cow Swap, Grinex, Rhea Finance și Aftermath Finance, printre altele.

Modelul comun al aproape tuturor incidentelor indică faptul că problema nu ține de bug-uri la nivel de cod, ci de compromiterea cheilor de administrator, vulnerabilitățile podurilor și riscurile legate de proxy-urile actualizabile, expunând puncte de control centralizate împotriva cărora auditurile singure nu pot oferi protecție.

Situația Wasabi rămâne activă. Utilizatorii ar trebui să monitorizeze contul oficial @wasabi_protocol și fluxurile firmelor de securitate pentru actualizări.