Протокол Wasabi потерял 5 млн долларов после того, как злоумышленник завладел административным ключом развертывающего пользователя в трёх цепочках

Основные выводы:

• 30 апреля 2026 года злоумышленник похитил от 4,5 до 5,5 млн долларов из Wasabi Protocol, взломав административный ключ EOA развертывателя.
• Virtuals Protocol заморозил маржинальные депозиты сразу после взлома, хотя его собственная система безопасности осталась полностью нетронутой.
• Wasabi Protocol не выпустил публичного заявления; пользователи должны отозвать все разрешения в Ethereum, Base и Blast.

DeFi-протокол Wasabi потерял 5 млн долларов в результате взлома административного ключа

Скомпрометированный адрес, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, был единственным административным ключом, управляющим контрактами Perpmanager Wasabi. Сообщается, что злоумышленник использовал его для предоставления роли ADMIN_ROLE вредоносному вспомогательному контракту, после чего выполнил несанкционированные обновления прокси UUPS на прокси Wasabivault и Wasabilongpool, а затем счистил залоговые средства и остатки в пулах.

Компания Hypernative, занимающаяся вопросами безопасности, отметила инцидент, выдав предупреждения высокой степени опасности по всем трем цепочкам. Blockaid, Cyvers и Defimonalerts также обнаружили эту активность в режиме реального времени. Hypernative подтвердила, что не является клиентом Wasabi, но обнаружила нарушение независимо и пообещала провести полный технический анализ.

Атака началась около 07:48 UTC и продолжалась примерно два часа. Разработник предоставил роль ADMIN_ROLE контрактам, контролируемым злоумышленником, на Ethereum, Base и Blast. Затем вредоносный контракт вызвал strategyDeposit() на семи-восьми прокси WasabiVault, передавая поддельную стратегию, которая запускала функцию drain(), возвращавшую все залоговое обеспечение злоумышленнику.

Затем Wasabilongpool на Ethereum и Base был обновлен до вредоносной версии, которая списала оставшиеся остатки. Средства были консолидированы в ETH, при необходимости переведены через мост и распределены по нескольким адресам. В ранних отчетах отмечалась некоторая активность, связанная с Tornado Cash.

Сообщается, что крупнейший единичный убыток составил 840,9 WETH, что на момент атаки стоило более 1,9 миллиона долларов. Среди других похищенных активов были sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN и биткойн, а также активы цепочки Base, такие как VIRTUAL, AERO и cbBTC. Согласно данным Defillama, общая заблокированная стоимость (TVL) Wasabi до атаки составляла примерно 8,5 миллиона долларов по всем цепочкам.

Это была ошибка в управлении ключами, а не уязвимость смарт-контракта. Никаких эксплойтов реентрантности или логики не было. Злоумышленник, вероятно, получил закрытый ключ с помощью фишинга, вредоносного ПО или прямой кражи, а затем злоупотребил архитектурой обновляемого прокси, чтобы вывести средства, не запуская стандартные проверки безопасности.

Virtuals Protocol, который обеспечивал маржинальные депозиты через Wasabi, быстро отреагировал после обнаружения взлома. Команда заморозила все маржинальные депозиты и подтвердила, что ее собственная система безопасности полностью сохранила целостность. Торговля, вывод средств и операции агентов на Virtuals продолжались без сбоев. Команда предупредила пользователей избегать подписания любых транзакций, связанных с Wasabi.

По последним доступным данным, Wasabi Protocol не выпустил публичного заявления или сообщения об инциденте. Ранее протокол быстро реагировал на несвязанные инциденты и проводил аудиты от Zellic и Sherlock, но эта атака полностью обошла эти меры защиты.

Пользователям, подвергшимся риску, рекомендуется немедленно отозвать все разрешения Wasabi в Ethereum, Base и Blast. Такие инструменты, как Revoke.cash, Etherscan и Basescan, могут помочь определить активные разрешения. Остальные позиции LP следует незамедлительно вывести, и не следует подписывать никаких транзакций, связанных с Wasabi, до тех пор, пока команда не подтвердит ротацию ключей и полную целостность контракта.

Этот инцидент соответствует модели, наблюдавшейся в DeFi в 2026 году: обновляемые прокси-контракты в сочетании с централизованными ключами администратора создают единую точку отказа, которая обходит даже тщательно проверенный код. Когда один ключ контролирует разрешения на обновление в нескольких цепочках, единственное взломание становится событием, затрагивающим весь протокол.

Взлом Wasabi не был единичным случаем. В апреле 2026 года из протоколов DeFi было выведено более 600 миллионов долларов в результате примерно дюжины подтвержденных инцидентов, что сделало этот месяц одним из худших в истории сектора. Месяц начался 1 апреля с того, что злоумышленники вывели примерно 285 миллионов долларов из Drift Protocol на Solana менее чем за 20 минут, используя манипуляции с управлением и злоупотребление оракулами.

Второй серьезный удар пришелся на 18 апреля, когда эксплойт моста Layerzero поразил KelpDAO на Ethereum, похитив примерно 292 миллиона долларов в rsETH и вызвав цепную реакцию на сумму более 10 миллиардов долларов на других кредитных платформах, включая Aave. В течение месяца были зафиксированы менее крупные атаки на Silo Finance, Cow Swap, Grinex, Rhea Finance и Aftermath Finance, среди прочих.

Характер почти всех инцидентов указывает не на ошибки на уровне кода, а на компрометацию ключей администратора, уязвимости мостов и риски, связанные с обновляемыми прокси, что обнажает централизованные точки контроля, от которых одни только аудиты не могут защитить.

Ситуация с Wasabi остается активной. Пользователям следует следить за обновлениями в официальном аккаунте @wasabi_protocol и лентах новостей компаний, занимающихся безопасностью.