Протокол Wasabi втратив 5 млн доларів після того, як зловмисник заволодів адміністративним ключем розгортання у трьох ланцюгах

Основні висновки:

• 30 квітня 2026 року зловмисник вивів від 4,5 до 5,5 млн доларів з Wasabi Protocol, зламавши адміністративний ключ EOA розгортання.
• Virtuals Protocol заморозив маржинальні депозити відразу після злом, хоча його власна система безпеки залишилася повністю неушкодженою.
• Wasabi Protocol не опублікував офіційної заяви; користувачі повинні скасувати всі дозволи в Ethereum, Base та Blast.

DeFi-протокол Wasabi втратив 5 млн доларів через злом адміністративного ключа

Зламаний адрес, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, був єдиним адміністративним ключем, що контролював контракти Perpmanager Wasabi. Як повідомляється, зловмисник використав його для надання ADMIN_ROLE шкідливому допоміжному контракту, а потім виконав несанкціоновані оновлення проксі UUPS на проксі Wasabivault та Wasabilongpool, перш ніж викрасти заставу та залишки пулу.

Компанія з безпеки Hypernative позначила інцидент як надзвичайно серйозний у всіх трьох ланцюгах. Blockaid, Cyvers та Defimonalerts також виявили цю активність у реальному часі. Hypernative підтвердила, що не є клієнтом Wasabi, але виявила порушення самостійно та пообіцяла провести повний технічний аналіз.

Атака розпочалася приблизно о 07:48 за UTC і тривала близько двох годин. Розробник надав ADMIN_ROLE контрактам, контрольованим зловмисником, на Ethereum, Base та Blast. Потім зловмисний контракт викликав strategyDeposit() на семи-восьми проксі-серверах WasabiVault, передавши фальшиву стратегію, яка запустила функцію drain(), що повернула все забезпечення зловмиснику.

Потім Wasabilongpool на Ethereum та Base було оновлено до шкідливої реалізації, яка вивела залишки коштів. Кошти було консолідовано в ETH, переведено за необхідності та розподілено між кількома адресами. У перших повідомленнях зазначалася певна активність, пов’язана з Tornado Cash.

За повідомленнями, найбільший окремий збиток становив 840,9 WETH, що на момент атаки коштувало понад 1,9 млн доларів. Серед інших викрадених активів були sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN та біткойн, а також активи ланцюга Base, такі як VIRTUAL, AERO та cbBTC. За даними Defillama, загальна заблокована вартість (TVL) Wasabi становила приблизно 8,5 млн доларів у різних ланцюгах до експлойту.

Це була помилка в управлінні ключами, а не вразливість смарт-контракту. Ніякої реентерації чи експлойтів логіки не було. Зловмисник, ймовірно, отримав приватний ключ через фішинг, шкідливе програмне забезпечення або пряму крадіжку, а потім зловживав архітектурою проксі, що підтримує оновлення, щоб вивести кошти, не викликаючи звичайних перевірок безпеки.

Virtuals Protocol, який забезпечував маржинальні депозити через Wasabi, швидко відреагував після виявлення порушення. Команда заморозила всі маржинальні депозити та підтвердила, що її власна безпека повністю збережена. Торгівля, виведення коштів та операції агентів на Virtuals продовжувалися без перебоїв. Команда попередила користувачів уникати підписання будь-яких транзакцій, пов'язаних з Wasabi.

За останніми доступними даними, Wasabi Protocol не опублікував офіційної заяви або повідомлення про інцидент. Раніше протокол швидко реагував на не пов'язані з цим інциденти та проводить аудити від Zellic і Sherlock, але ця атака повністю обійшла ці заходи захисту.

Користувачам, які зазнали впливу, рекомендується негайно скасувати всі дозволи Wasabi в Ethereum, Base та Blast. Такі інструменти, як Revoke.cash, Etherscan та Basescan, можуть допомогти визначити активні дозволи. Усі залишки позицій LP слід негайно вивести, а транзакції, пов'язані з Wasabi, не слід підписувати, доки команда не підтвердить ротацію ключів та повну цілісність контракту.
Цей інцидент відповідає закономірності, що спостерігалася у DeFi у 2026 році: оновлювані проксі-контракти в поєднанні з централізованими адміністративними ключами створюють єдину точку відмови, яка обходить навіть добре перевірений код. Коли один ключ контролює дозволи на оновлення у декількох ланцюгах, одна компрометація стає подією, що охоплює весь протокол.

Злом Wasabi не був поодиноким випадком. У квітні 2026 року з протоколів DeFi було виведено понад 600 мільйонів доларів у результаті приблизно десятка підтверджених інцидентів, що зробило цей місяць одним із найгірших в історії сектору. Місяць розпочався 1 квітня, коли зловмисники вивели приблизно 285 мільйонів доларів із Drift Protocol на Solana менш ніж за 20 хвилин, використовуючи маніпуляції з управлінням та зловживання оракулом.

Другий серйозний удар стався близько 18 квітня, коли експлойт мосту Layerzero вразив KelpDAO на Ethereum, викравши приблизно 292 мільйони доларів у rsETH і спричинивши поширення збитків на суму понад 10 мільярдів доларів по всьому ланцюжку кредитних платформ, включаючи Aave. Менші атаки протягом місяця відбувалися, зокрема, на Silo Finance, Cow Swap, Grinex, Rhea Finance та Aftermath Finance.

Схема майже всіх інцидентів вказує не на помилки на рівні коду, а на компрометацію адміністративних ключів, слабкі місця в мостах та ризики, пов'язані з проксі, що підлягають оновленню, викриваючи централізовані точки контролю, від яких не можуть захистити лише аудити.

Ситуація з Wasabi залишається активною. Користувачам слід стежити за оновленнями на офіційному акаунті @wasabi_protocol та у стрічках новин компаній з безпеки.