Nawalan ang Wasabi Protocol ng $5M matapos maagaw ng umaatake ang admin key ng deployer sa 3 chain

Mahahalagang Puntos:

• Nag-drain ang isang umaatake ng $4.5M hanggang $5.5M mula sa Wasabi Protocol matapos makompromiso ang deployer EOA admin key noong Abril 30, 2026.
• Agad na ni-freeze ng Virtuals Protocol ang mga margin deposit pagkatapos ng paglabag, kahit na nanatiling ganap na buo ang sarili nitong seguridad.
• Wala pang inilalabas na pampublikong pahayag ang Wasabi Protocol; kailangang i-revoke ng mga user ang lahat ng approvals sa Ethereum, Base, at Blast.

DeFi Protocol na Wasabi Nawalan ng $5M sa Admin Key Hack

Ang nakompromisong address, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, ang tanging admin key na kumokontrol sa mga kontratang Perpmanager ng Wasabi. Iniulat na ginamit ito ng umaatake para ibigay ang ADMIN_ROLE sa isang mapanlinlang na helper contract, pagkatapos ay nagsagawa ng mga hindi awtorisadong UUPS proxy upgrade sa mga Wasabivault proxy at sa Wasabilongpool bago winalis ang collateral at mga balanse ng pool.

Nag-flag ang security firm na Hypernative ng insidente gamit ang mga high-severity alert sa lahat ng tatlong chain. Natukoy rin nina Blockaid, Cyvers, at Defimonalerts ang aktibidad nang real time. Kinumpirma ng Hypernative na hindi ito customer ng Wasabi ngunit independiyenteng natukoy ang paglabag at nangakong maglalabas ng buong teknikal na pagsusuri.

Nagsimula ang pag-atake bandang 07:48 UTC at tumakbo nang humigit-kumulang dalawang oras. Ipinagkaloob ng deployer ang ADMIN_ROLE sa mga kontratang kontrolado ng umaatake sa Ethereum, Base, at Blast. Pagkatapos, tumawag ang isang mapanlinlang na kontrata ng strategyDeposit() sa pito hanggang walong WasabiVault proxy, na nagpasok ng pekeng strategy na nag-trigger ng drain() function na nagbabalik ng lahat ng collateral sa umaatake.

Pagkatapos ay in-upgrade ang Wasabilongpool sa Ethereum at Base sa isang mapanlinlang na implementation na winalis ang natitirang mga balanse. Pinagsama-sama ang mga pondo bilang ETH, ibinridge kung kinakailangan, at ipinamigay sa maraming address. Napansin sa mga unang ulat ang ilang aktibidad na iniuugnay sa Tornado Cash.

Ang pinakamalaking solong pagkawala ay iniulat na 840.9 WETH, na nagkakahalaga ng mahigit $1.9 milyon noong oras ng pag-atake. Kabilang sa iba pang na-drain na asset ang sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN, at bitcoin, kasama ang mga asset sa Base-chain gaya ng VIRTUAL, AERO, at cbBTC. Nasa humigit-kumulang $8.5 milyon ang kabuuang total value locked (TVL) ng Wasabi sa iba’t ibang chain bago ang exploit, ayon sa datos ng Defillama.

Ito ay kabiguan sa pamamahala ng key, hindi isang kahinaan sa smart contract. Walang reentrancy o logic exploit na sangkot. Malamang na nakuha ng umaatake ang private key sa pamamagitan ng phishing, malware, o direktang pagnanakaw, at pagkatapos ay inabuso ang upgradeable proxy architecture upang ma-drain ang mga pondo nang hindi natitrigger ang karaniwang mga security check.

Ang Virtuals Protocol, na siyang nagpapatakbo ng margin deposits sa pamamagitan ng Wasabi, ay kumilos nang mabilis matapos matukoy ang paglabag. Ni-freeze ng team ang lahat ng margin deposit at kinumpirma na nanatiling ganap na buo ang sarili nitong seguridad. Nagpatuloy ang trading, withdrawals, at agent operations sa Virtuals nang walang aberya. Binalaan ng team ang mga user na iwasang pumirma ng anumang transaksyong may kaugnayan sa Wasabi.

Wala pang inilalabas na pampublikong pahayag o incident post ang Wasabi Protocol batay sa pinakabagong magagamit na datos. Dati nang mabilis maglabas ng komunikasyon ang protocol sa mga hindi kaugnay na insidente at may mga audit mula sa Zellic at Sherlock, ngunit lubusang nalampasan ng pag-atakeng ito ang mga proteksiyong iyon.

Pinapayuhan ang mga user na may exposure na i-revoke agad ang lahat ng Wasabi approvals sa Ethereum, Base, at Blast. Makakatulong ang mga tool tulad ng Revoke.cash, Etherscan, at Basescan upang matukoy ang mga aktibong approval. Anumang natitirang LP position ay dapat i-withdraw nang walang pagkaantala, at huwag pumirma ng anumang transaksyong may kaugnayan sa Wasabi hanggang kumpirmahin ng team ang key rotation at ang ganap na integridad ng lahat ng kontrata.

Ang insidenteng ito ay akma sa pattern na nakita sa buong DeFi noong 2026: ang mga upgradeable proxy contract na ipinares sa sentralisadong admin key ay lumilikha ng iisang punto ng pagkabigo na nakakalampas kahit sa mahusay na na-audit na code. Kapag iisang key ang kumokontrol sa mga upgrade permission sa maraming chain, ang isang kompromiso ay nagiging pang-protocol na pangyayari.

Hindi naganap ang paglabag sa Wasabi nang hiwalay. Noong Abril 2026, mahigit $600 milyon na ang na-drain mula sa mga DeFi protocol sa humigit-kumulang isang dosenang kumpirmadong insidente, kaya isa ito sa pinakamasamang buwan na naitala para sa sektor. Nagsimula ang buwan noong Abril 1 nang mag-drain ang mga umaatake ng tinatayang $285 milyon mula sa Drift Protocol sa Solana sa loob ng wala pang 20 minuto gamit ang manipulasyon sa governance at pang-aabuso sa oracle.

Isang pangalawang malaking dagok ang dumating bandang Abril 18 nang tumama ang isang Layerzero bridge exploit sa KelpDAO sa Ethereum, na nag-drain ng humigit-kumulang $292 milyon sa rsETH at nag-trigger ng mahigit $10 bilyong downstream contagion sa mga lending platform, kabilang ang Aave. May mga mas maliliit na insidente rin sa buong buwan na tumama sa Silo Finance, Cow Swap, Grinex, Rhea Finance, at Aftermath Finance, bukod sa iba pa.

Ipinapakita ng pattern sa halos bawat insidente na hindi ito nakatuon sa mga bug sa antas ng code, kundi sa mga kompromiso sa admin key, mga kahinaan sa bridge, at mga panganib ng upgradeable proxy, na naglalantad ng mga sentralisadong control point na hindi kayang protektahan ng mga audit lamang.

Nanatiling aktibo ang sitwasyon ng Wasabi. Dapat subaybayan ng mga user ang opisyal na @wasabi_protocol account at mga feed ng mga security firm para sa mga update.