Protokol Wasabi je izgubil 5 milijonov dolarjev, potem ko je napadalec prevzel upraviteljski ključ za razvrščanje v treh verigah

Ključne ugotovitve:

• Napadalec je 30. aprila 2026 iz Wasabi Protocol izčrpal od 4,5 do 5,5 milijona dolarjev, tako da je prevzel nadzor nad upraviteljskim ključem EOA za razvrščanje.
• Virtuals Protocol je takoj po vdoru zamrznil maržne depozite, čeprav je njegova lastna varnost ostala popolnoma neokrnjena.
• Protokol Wasabi ni izdal javne izjave; uporabniki morajo preklicati vsa pooblastila v omrežjih Ethereum, Base in Blast.

DeFi protokol Wasabi izgubil 5 milijonov dolarjev zaradi hekerskega napada na administrativni ključ

Ogroženi naslov, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, je bil edini administrativni ključ, ki je nadzoroval Wasabijeve pogodbe Perpmanager. Napadalec ga je po poročanju uporabil za dodelitev vloge ADMIN_ROLE zlonamerni pomožni pogodbi, nato pa izvedel nepooblaščene nadgradnje proxyja UUPS na proxyjih Wasabivault in Wasabilongpool, preden je pobral zavarovanje in stanja v sklopu.

Varnostno podjetje Hypernative je incident označilo z opozorili visoke resnosti v vseh treh verigah. Blockaid, Cyvers in Defimonalerts so dejavnost prav tako zaznali v realnem času. Hypernative je potrdilo, da ni stranka Wasabija, vendar je kršitev zaznalo neodvisno in se zavezalo k celoviti tehnični analizi.

Napad se je začel okoli 07:48 UTC in trajal približno dve uri. Razvijalec je dodelil ADMIN_ROLE pogodbam, ki jih je nadzoroval napadalec, na Ethereumu, Base in Blastu. Zlonamerna pogodba je nato poklicala strategyDeposit() na sedmih do osmih WasabiVault proxyjih, pri čemer je posredovala lažno strategijo, ki je sprožila funkcijo drain(), ki je vrnila vsa zavarovanja napadalcu.

Wasabilongpool na Ethereumu in Base je bil nato nadgrajen na zlonamerno izvedbo, ki je pobrala preostala sredstva. Sredstva so bila združena v ETH, po potrebi prenesena prek mostov in razdeljena na več naslovov. Prvi poročili so navajali nekaj aktivnosti, povezanih s Tornado Cash.

Največja posamezna izguba je bila po poročanju 840,9 WETH, vrednih več kot 1,9 milijona dolarjev v času napada. Med drugimi izčrpanimi sredstvi so bili sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN in bitcoin, skupaj s sredstvi verige Base, kot so VIRTUAL, AERO in cbBTC. Skupna vrednost Wasabija (TVL) je pred izkoriščanjem napake po podatkih Defillame znašala približno 8,5 milijona dolarjev v vseh verigah.

Gre za napako pri upravljanju ključev, ne za ranljivost pametne pogodbe. Ni šlo za ponovni vstop ali izkoriščanje logike. Napadalec je verjetno pridobil zasebni ključ prek phishinga, zlonamerne programske opreme ali neposredne kraje, nato pa je zlorabil nadgradljivo arhitekturo proxyja, da je izčrpal sredstva, ne da bi sprožil običajne varnostne preglede.

Virtuals Protocol, ki je omogočal maržne depozite prek Wasabija, je po odkritju vdora hitro ukrepal. Ekipa je zamrznila vse maržne depozite in potrdila, da je njena lastna varnost popolnoma neokrnjena. Trgovanje, izplačila in operacije agentov na Virtualsu so potekale brez motenj. Ekipa je uporabnike opozorila, naj se izogibajo podpisovanju kakršnih koli transakcij, povezanih z Wasabijem.

Wasabi Protocol po zadnjih razpoložljivih podatkih ni izdal javne izjave ali objave o incidentu. Protokol je v preteklosti hitro komuniciral med nepovezanimi incidenti in ima revizije od Zellic in Sherlock, vendar je ta napad te zaščite v celoti zaobšel.

Uporabnikom, ki so izpostavljeni, se svetuje, da nemudoma prekličejo vse odobritve Wasabi na Ethereumu, Base in Blastu. Orodja, kot so Revoke.cash, Etherscan in Basescan, lahko pomagajo identificirati aktivne odobritve. Vse preostale LP-pozicije je treba nemudoma umakniti, transakcij, povezanih z Wasabijem, pa se ne sme podpisovati, dokler ekipa ne potrdi rotacije ključev in popolne integritete pogodbe.
Incident ustreza vzorcu, ki je bil v letu 2026 opazen v celotnem DeFi: nadgradljive proxy pogodbe v kombinaciji s centraliziranimi administrativnimi ključi ustvarjajo enotno točko odpovedi, ki zaobide celo dobro revidirano kodo. Ko en ključ nadzira dovoljenja za nadgradnjo v več verigah, en sam vdor postane dogodek, ki zadeva celoten protokol.

Vdor v Wasabi ni bil osamljen primer. Aprila 2026 je bilo iz protokolov DeFi v približno ducat potrjenih incidentov izčrpano več kot 600 milijonov dolarjev, kar je ta mesec uvrstilo med najhujše v zgodovini sektorja. Mesec se je začel 1. aprila, ko so napadalci v manj kot 20 minutah iz protokola Drift na Solani izčrpali približno 285 milijonov dolarjev z manipulacijo upravljanja in zlorabo orakla.

Drugi večji udarec je prišel okoli 18. aprila, ko je izkoriščanje mostu Layerzero prizadelo KelpDAO na Ethereumu, pri čemer je bilo izčrpano približno 292 milijonov dolarjev v rsETH in sprožilo več kot 10 milijard dolarjev posrednega širjenja po posojilnih platformah, vključno z Aave. Manjši udarci so se skozi mesec zgodili med drugim na Silo Finance, Cow Swap, Grinex, Rhea Finance in Aftermath Finance.

Vzorec pri skoraj vseh incidentih kaže stran od napak na ravni kode in v smeri ogroženosti administrativnih ključev, šibkosti mostov in tveganj nadgradljivih proxyjev, kar razkriva centralizirane kontrolne točke, pred katerimi revizije same ne morejo zaščititi.

Situacija z Wasabijem ostaja aktivna. Uporabniki naj spremljajo uradni račun @wasabi_protocol in novice varnostnih podjetij za posodobitve.