Saldırganın 3 zincirde dağıtıcı yönetici anahtarını ele geçirmesinin ardından Wasabi Protocol 5 milyon dolar kaybetti

Önemli Noktalar:

• Bir saldırgan, 30 Nisan 2026 tarihinde dağıtıcı EOA yönetici anahtarını ele geçirerek Wasabi Protocol'den 4,5 milyon ila 5,5 milyon dolar çaldı.
• Virtuals Protocol, kendi güvenliği tamamen sağlam kalmasına rağmen, ihlalin hemen ardından marj depozitolarını dondurdu.
• Wasabi Protocol henüz kamuya açık bir açıklama yapmadı; kullanıcılar Ethereum, Base ve Blast'taki tüm onayları iptal etmelidir.

DeFi Protokolü Wasabi, Yönetici Anahtarı Saldırısında 5 Milyon Dolar Kaybetti

Ele geçirilen adres olan 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, Wasabi'nin Perpmanager sözleşmelerini kontrol eden tek yönetici anahtarıydı. Saldırganın, bu anahtarı kullanarak kötü niyetli bir yardımcı sözleşmeye ADMIN_ROLE yetkisi verdiği, ardından Wasabivault proxy'lerinde ve Wasabilongpool'da yetkisiz UUPS proxy yükseltmeleri gerçekleştirdiği ve ardından teminat ve havuz bakiyelerini boşalttığı bildirildi.

Güvenlik firması Hypernative, bu olayı üç zincirin tamamında yüksek önem derecesine sahip uyarılarla işaretledi. Blockaid, Cyvers ve Defimonalerts de bu faaliyeti gerçek zamanlı olarak tespit etti. Hypernative, Wasabi müşterisi olmadığını doğruladı, ancak ihlali bağımsız olarak tespit etti ve kapsamlı bir teknik analiz yapacağını taahhüt etti.

Saldırı, UTC saat 07:48 civarında başladı ve yaklaşık iki saat sürdü. Dağıtıcı, Ethereum, Base ve Blast'ta saldırganın kontrolündeki sözleşmelere ADMIN_ROLE izni verdi. Ardından kötü niyetli bir sözleşme, yedi ila sekiz WasabiVault proxy'sinde strategyDeposit() işlevini çağırdı ve tüm teminatı saldırgana iade eden drain() işlevini tetikleyen sahte bir strateji iletti.

Ardından, Ethereum ve Base üzerindeki Wasabilongpool, kalan bakiyeleri süpüren kötü niyetli bir uygulamaya yükseltildi. Fonlar ETH'ye konsolide edildi, gerektiğinde köprüleme yapıldı ve birden fazla adrese dağıtıldı. İlk raporlarda Tornado Cash ile bağlantılı bazı faaliyetler kaydedildi.

Bildirildiğine göre en büyük tekil kayıp, saldırı anında 1,9 milyon dolardan fazla değere sahip 840,9 WETH idi. Tahrip edilen diğer varlıklar arasında sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN ve bitcoin ile VIRTUAL, AERO ve cbBTC gibi Base zinciri varlıkları yer alıyordu. Defillama verilerine göre, Wasabi'nin toplam kilitli değeri (TVL), saldırıdan önce zincirler genelinde yaklaşık 8,5 milyon dolar seviyesindeydi.

Bu, akıllı sözleşme güvenlik açığı değil, anahtar yönetimi hatasıydı. Reentrancy veya mantık istismarları söz konusu değildi. Saldırgan, muhtemelen kimlik avı, kötü amaçlı yazılım veya doğrudan hırsızlık yoluyla özel anahtarı ele geçirdi, ardından yükseltilebilir proxy mimarisini kötüye kullanarak geleneksel güvenlik kontrollerini tetiklemeden fonları boşalttı.

Wasabi aracılığıyla marj depozitolarını destekleyen Virtuals Protocol, ihlal tespit edildikten sonra hızlı bir şekilde harekete geçti. Ekip, tüm marj depozitolarını dondurdu ve kendi güvenliğinin tamamen sağlam olduğunu doğruladı. Virtuals'daki ticaret, para çekme ve aracı işlemleri kesintiye uğramadan devam etti. Ekip, kullanıcılara Wasabi ile ilgili herhangi bir işlemi imzalamamaları konusunda uyarıda bulundu.

Wasabi Protocol, mevcut en son verilere göre henüz bir kamuoyu açıklaması veya olay bildirisi yayınlamadı. Protokol, daha önce alakasız olaylar sırasında hızlı bir şekilde iletişim kurmuş ve Zellic ile Sherlock'tan denetimler almıştı, ancak bu saldırı bu korumaları tamamen atlattı.

Risk altında olan kullanıcılara, Ethereum, Base ve Blast'taki tüm Wasabi onaylarını derhal iptal etmeleri tavsiye edilir. Revoke.cash, Etherscan ve Basescan gibi araçlar, aktif onayları belirlemeye yardımcı olabilir. Kalan tüm LP pozisyonları gecikmeden çekilmeli ve ekip anahtar rotasyonunu ve sözleşmenin tam bütünlüğünü onaylayana kadar Wasabi ile ilgili hiçbir işlem imzalanmamalıdır.

Bu olay, 2026 yılında DeFi genelinde görülen bir kalıba uyuyor: yükseltilebilir vekil sözleşmelerin merkezi yönetim anahtarlarıyla eşleştirilmesi, iyi denetlenmiş kodları bile atlayan tek bir arıza noktası yaratıyor. Bir anahtar birden fazla zincirdeki yükseltme izinlerini kontrol ettiğinde, tek bir güvenlik ihlali protokol çapında bir olay haline geliyor.

Wasabi ihlali tek başına gerçekleşmedi. Nisan 2026'da, yaklaşık bir düzine onaylanmış olayda DeFi protokollerinden 600 milyon dolardan fazla para çekildi, bu da bu ayı sektör için kayıtlara geçen en kötü aylardan biri haline getirdi. Ay, 1 Nisan'da saldırganların yönetişim manipülasyonu ve oracle suistimali kullanarak Solana'daki Drift Protocol'den 20 dakikadan kısa bir sürede yaklaşık 285 milyon dolar çekmesiyle başladı.

İkinci büyük darbe, 18 Nisan civarında Layerzero köprüsündeki bir güvenlik açığının Ethereum üzerindeki KelpDAO'yu vurmasıyla geldi; bu olayda yaklaşık 292 milyon dolarlık rsETH çalındı ve Aave dahil olmak üzere kredi platformlarında 10 milyar doların üzerinde bir domino etkisi tetiklendi. Ay boyunca Silo Finance, Cow Swap, Grinex, Rhea Finance ve Aftermath Finance gibi platformlarda da daha küçük çaplı saldırılar gerçekleşti.

Neredeyse her olayda görülen bu örüntü, kod düzeyindeki hatalardan uzaklaşıp yönetici anahtarlarının ele geçirilmesine, köprü zayıflıklarına ve yükseltilebilir proxy risklerine işaret ediyor ve denetimlerin tek başına koruyamayacağı merkezi kontrol noktalarını ortaya çıkarıyor.

Wasabi durumu halen devam ediyor. Kullanıcılar, güncellemeler için @wasabi_protocol resmi hesabını ve güvenlik firmalarının beslemelerini takip etmelidir.