Wasabi Protocol förlorar 5 miljoner dollar efter att en angripare kommit över administratörsnyckeln för Deployer i tre blockkedjor

Huvudpunkter:

• En angripare tömde Wasabi Protocol på mellan 4,5 och 5,5 miljoner dollar genom att kompromettera deployer-EOA-administratörsnyckeln den 30 april 2026.
• Virtuals Protocol frös marginalsäkerheter omedelbart efter intrånget, även om dess egen säkerhet förblev helt intakt.
• Wasabi Protocol har inte utfärdat något offentligt uttalande; användare måste återkalla alla godkännanden på Ethereum, Base och Blast.

DeFi-protokollet Wasabi förlorar 5 miljoner dollar i hack av administratörsnyckel

Den komprometterade adressen, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, var den enda administratörsnyckeln som kontrollerade Wasabis Perpmanager-kontrakt. Angriparen använde den enligt uppgift för att bevilja ADMIN_ROLE till ett skadligt hjälpkontrakt, och utförde sedan obehöriga UUPS-proxyuppgraderingar på Wasabivault-proxyservrar och Wasabilongpool innan han tömde säkerheter och poolbalanser.

Säkerhetsföretaget Hypernative flaggade incidenten med varningar av hög allvarlighetsgrad i alla tre kedjorna. Blockaid, Cyvers och Defimonalerts upptäckte också aktiviteten i realtid. Hypernative bekräftade att de inte är en Wasabi-kund men upptäckte intrånget oberoende och lovade en fullständig teknisk analys.

Attacken inleddes omkring kl. 07:48 UTC och pågick i cirka två timmar. Den som genomförde attacken beviljade ADMIN_ROLE till angriparkontrollerade kontrakt på Ethereum, Base och Blast. Ett skadligt kontrakt anropade sedan strategyDeposit() på sju till åtta WasabiVault-proxyservrar och skickade en falsk strategi som utlöste en drain()-funktion som återförde all säkerhet till angriparen.

Wasabilongpool på Ethereum och Base uppgraderades därefter till en skadlig implementering som tömde återstående saldon. Medlen konsoliderades till ETH, överfördes vid behov och fördelades över flera adresser. Tidiga rapporter noterade viss aktivitet kopplad till Tornado Cash.

Den största enskilda förlusten uppgick enligt uppgift till 840,9 WETH, värt mer än 1,9 miljoner dollar vid tidpunkten för attacken. Andra tömda tillgångar inkluderade sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN och bitcoin, tillsammans med Base-kedjetillgångar som VIRTUAL, AERO och cbBTC. Wasabis totala låsta värde (TVL) uppgick till ungefär 8,5 miljoner dollar över kedjorna före utnyttjandet, enligt data från Defillama.

Detta var ett fel i nyckelhanteringen, inte en sårbarhet i smarta kontrakt. Inga reentrancy- eller logikexploateringar var inblandade. Angriparen erhöll sannolikt den privata nyckeln genom phishing, skadlig kod eller direkt stöld, och missbrukade sedan den uppgraderbara proxyarkitekturen för att tömma medel utan att utlösa konventionella säkerhetskontroller.

Virtuals Protocol, som hanterade marginalsäkerheter via Wasabi, agerade snabbt efter att intrånget upptäcktes. Teamet fryste alla marginalsäkerheter och bekräftade att deras egen säkerhet var helt intakt. Handel, uttag och agentverksamhet på Virtuals fortsatte utan avbrott. Teamet varnade användarna för att undvika att underteckna några Wasabi-relaterade transaktioner.

Wasabi Protocol hade inte utfärdat något offentligt uttalande eller någon incidentrapport enligt de senaste tillgängliga uppgifterna. Protokollet har tidigare kommunicerat snabbt vid icke-relaterade incidenter och genomgår revisioner från Zellic och Sherlock, men denna attack kringgick dessa skydd helt.

Användare som är utsatta rekommenderas att omedelbart återkalla alla Wasabi-godkännanden på Ethereum, Base och Blast. Verktyg som Revoke.cash, Etherscan och Basescan kan hjälpa till att identifiera aktiva godkännanden. Eventuella återstående LP-positioner bör tas ut utan dröjsmål, och inga Wasabi-relaterade transaktioner bör undertecknas förrän teamet bekräftar nyckelrotation och fullständig kontraktsintegritet.

Incidenten passar in i ett mönster som har setts inom DeFi under 2026: uppgraderbara proxykontrakt i kombination med centraliserade administratörsnycklar skapar en enda felpunkt som kringgår även välgranskad kod. När en enda nyckel kontrollerar uppgraderingsbehörigheter över flera kedjor blir en enda kompromettering en händelse som påverkar hela protokollet.

Wasabi-intrånget inträffade inte isolerat. I april 2026 har mer än 600 miljoner dollar tömts från DeFi-protokoll i ungefär ett dussin bekräftade incidenter, vilket gör det till en av de värsta månaderna någonsin för sektorn. Månaden inleddes den 1 april med att angripare tömde cirka 285 miljoner dollar från Drift Protocol på Solana på mindre än 20 minuter genom att utnyttja styrningsmanipulation och orakelmissbruk.

Ett andra stort slag kom omkring den 18 april när en Layerzero-bridge-exploit drabbade KelpDAO på Ethereum, vilket ledde till att cirka 292 miljoner dollar i rsETH tömdes och utlöste en nedströms smittspridning på över 10 miljarder dollar över låneplattformar, inklusive Aave. Mindre attacker inträffade under hela månaden mot bland annat Silo Finance, Cow Swap, Grinex, Rhea Finance och Aftermath Finance.

Mönstret i nästan alla incidenter pekar bort från buggar på kodnivå och mot komprometterade administratörsnycklar, svagheter i bryggor och risker med uppgraderbara proxyservrar, vilket blottlägger centraliserade kontrollpunkter som revisioner ensamma inte kan skydda mot.

Situationen kring Wasabi är fortfarande aktuell. Användare bör följa det officiella kontot @wasabi_protocol och säkerhetsföretagens flöden för uppdateringar.