Protokol Wasabi prišiel o 5 miliónov dolárov po tom, čo útočník získal správcovský kľúč nasadzovateľa v troch reťazcoch

Kľúčové body:

• Útočník odcudzil z Wasabi Protocol 4,5 až 5,5 milióna dolárov tým, že 30. apríla 2026 kompromitoval administrátorský kľúč EOA nasadzovateľa.
• Protokol Virtuals Protocol zmrazil maržové vklady ihneď po narušení, hoci jeho vlastná bezpečnosť zostala úplne nedotknutá.
• Protokol Wasabi nevydal verejné vyhlásenie; používatelia musia zrušiť všetky schválenia v sieťach Ethereum, Base a Blast.

Protokol DeFi Wasabi stratil 5 miliónov dolárov v dôsledku hacknutia administrátorského kľúča

Kompromitovaná adresa 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8 bola jediným administrátorským kľúčom, ktorý ovládal zmluvy Perpmanager protokolu Wasabi. Útočník ho údajne použil na udelenie ADMIN_ROLE škodlivému pomocnému kontraktu, potom vykonal neautorizované aktualizácie proxy UUPS na proxy Wasabivault a Wasabilongpool, než zmietol kolaterál a zostatky v poole.

Bezpečnostná firma Hypernative označila incident ako veľmi závažný vo všetkých troch reťazcoch. Blockaid, Cyvers a Defimonalerts tiež zaznamenali túto aktivitu v reálnom čase. Hypernative potvrdila, že nie je zákazníkom Wasabi, ale porušenie bezpečnosti zistila nezávisle a prisľúbila úplnú technickú analýzu.

Útok začal okolo 07:48 UTC a trval približne dve hodiny. Deployer udelil ADMIN_ROLE zmluvám kontrolovaným útočníkom na Ethereum, Base a Blast. Škodlivá zmluva potom volala strategyDeposit() na siedmich až ôsmich proxy WasabiVault, pričom odovzdala falošnú stratégiu, ktorá spustila funkciu drain() vracajúcu všetky kolaterály útočníkovi.

Wasabilongpool na Ethereum a Base bol následne aktualizovaný na škodlivú implementáciu, ktorá vybrala zostávajúce zostatky. Prostriedky boli konsolidované do ETH, v prípade potreby prepojené a distribuované na viaceré adresy. Prvé správy zaznamenali určitú aktivitu spojenú s Tornado Cash.

Najväčšia jednotlivá strata bola údajne 840,9 WETH, čo v čase útoku predstavovalo hodnotu viac ako 1,9 milióna dolárov. Medzi ďalšie vyprázdnené aktíva patrili sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN a bitcoin, spolu s aktívami reťazca Base, ako sú VIRTUAL, AERO a cbBTC. Podľa údajov Defillama dosahovala celková hodnota uzamknutých prostriedkov (TVL) Wasabi pred zneužitím približne 8,5 milióna dolárov naprieč reťazcami.

Išlo o zlyhanie správy kľúčov, nie o zraniteľnosť inteligentnej zmluvy. Neboli v tom žiadne reentrancy ani logické exploity. Útočník pravdepodobne získal súkromný kľúč prostredníctvom phishingu, malvéru alebo priamej krádeže, potom zneužil aktualizovateľnú proxy architektúru na vyprázdnenie prostriedkov bez spustenia bežných bezpečnostných kontrol.

Protokol Virtuals, ktorý zabezpečoval maržové vklady prostredníctvom Wasabi, konal rýchlo po zistení narušenia. Tím zmrazil všetky maržové vklady a potvrdil, že jeho vlastná bezpečnosť je úplne neporušená. Obchodovanie, výbery a operácie agentov na Virtuals pokračovali bez prerušenia. Tím varoval používateľov, aby sa vyhli podpisovaniu akýchkoľvek transakcií súvisiacich s Wasabi.

Protokol Wasabi nevydal žiadne verejné vyhlásenie ani príspevok o incidente podľa najnovších dostupných údajov. Protokol v minulosti rýchlo komunikoval počas nesúvisiacich incidentov a má audity od spoločností Zellic a Sherlock, ale tento útok tieto ochrany úplne obišiel.

Užívateľom, ktorí sú ohrození, sa odporúča, aby okamžite zrušili všetky schválenia Wasabi v sieťach Ethereum, Base a Blast. Nástroje ako Revoke.cash, Etherscan a Basescan môžu pomôcť identifikovať aktívne schválenia. Všetky zostávajúce LP pozície by mali byť bezodkladne stiahnuté a žiadne transakcie súvisiace s Wasabi by nemali byť podpisované, kým tím nepotvrdí rotáciu kľúčov a úplnú integritu zmluvy.
Tento incident zapadá do vzorca, ktorý bol v roku 2026 pozorovaný v celom DeFi: aktualizovateľné proxy zmluvy v kombinácii s centralizovanými administrátorskými kľúčmi vytvárajú jediný bod zlyhania, ktorý obchádza aj dobre auditovaný kód. Keď jeden kľúč kontroluje oprávnenia na aktualizáciu naprieč viacerými reťazcami, jediné ohrozenie sa stáva udalosťou v rámci celého protokolu.

Porušenie bezpečnosti Wasabi sa nestalo izolovane. V apríli 2026 bolo z protokolov DeFi odčerpaných viac ako 600 miliónov dolárov v rámci približne tuctu potvrdených incidentov, čo z neho robí jeden z najhorších mesiacov v histórii tohto sektora. Mesiac začal 1. apríla, keď útočníci za menej ako 20 minút odčerpali približne 285 miliónov dolárov z protokolu Drift na Solane pomocou manipulácie s riadením a zneužitia orákula.

Druhý veľký úder prišiel okolo 18. apríla, keď exploit mostíka Layerzero zasiahol KelpDAO na Ethereu, čím bolo odcudzených približne 292 miliónov dolárov v rsETH a vyvolalo to následné šírenie škôd v hodnote viac ako 10 miliárd dolárov naprieč úverovými platformami, vrátane Aave. Menšie útoky zasiahli počas mesiaca okrem iného Silo Finance, Cow Swap, Grinex, Rhea Finance a Aftermath Finance.

Vzor takmer všetkých incidentov poukazuje na to, že príčinou nie sú chyby na úrovni kódu, ale kompromitácia administrátorských kľúčov, slabiny mostov a riziká spojené s aktualizovateľnými proxy, čím sa odhaľujú centralizované kontrolné body, proti ktorým samotné audity nedokážu ochrániť.

Situácia okolo Wasabi zostáva aktívna. Používatelia by mali sledovať oficiálny účet @wasabi_protocol a kanály bezpečnostných firiem, kde nájdu aktuálne informácie.