Wasabi Protocol thiệt hại 5 triệu USD sau khi kẻ tấn công chiếm được khóa quản trị của người triển khai trên 3 chuỗi khối

Điểm chính:

• Một kẻ tấn công đã rút trộm từ $4,5 triệu đến $5,5 triệu từ Wasabi Protocol bằng cách xâm nhập khóa quản trị EOA của trình triển khai vào ngày 30 tháng 4 năm 2026.
• Virtuals Protocol đã ngay lập tức đóng băng các khoản ký quỹ sau vụ vi phạm, mặc dù hệ thống bảo mật của chính họ vẫn hoàn toàn nguyên vẹn.
• Wasabi Protocol chưa đưa ra tuyên bố công khai; người dùng phải thu hồi tất cả các quyền phê duyệt trên Ethereum, Base và Blast.

Giao thức DeFi Wasabi mất $5 triệu do vụ hack khóa quản trị

Địa chỉ bị xâm nhập, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, là khóa quản trị duy nhất kiểm soát các hợp đồng Perpmanager của Wasabi. Theo báo cáo, kẻ tấn công đã sử dụng nó để cấp quyền ADMIN_ROLE cho một hợp đồng trợ giúp độc hại, sau đó thực hiện các bản nâng cấp proxy UUPS trái phép trên các proxy Wasabivault và Wasabilongpool trước khi rút sạch tài sản thế chấp và số dư trong các pool.

Công ty bảo mật Hypernative đã báo động sự cố này với các cảnh báo mức độ nghiêm trọng cao trên cả ba chuỗi. Blockaid, Cyvers và Defimonalerts cũng phát hiện hoạt động này trong thời gian thực. Hypernative xác nhận họ không phải là khách hàng của Wasabi nhưng đã phát hiện vi phạm này một cách độc lập và cam kết sẽ tiến hành phân tích kỹ thuật đầy đủ.

Cuộc tấn công bắt đầu vào khoảng 07:48 UTC và kéo dài khoảng hai giờ. Người triển khai đã cấp quyền ADMIN_ROLE cho các hợp đồng do kẻ tấn công kiểm soát trên Ethereum, Base và Blast. Một hợp đồng độc hại sau đó đã gọi hàm strategyDeposit() trên bảy đến tám proxy WasabiVault, truyền một chiến lược giả mạo kích hoạt hàm drain(), chuyển toàn bộ tài sản thế chấp về cho kẻ tấn công.

Wasabilongpool trên Ethereum và Base sau đó đã được nâng cấp lên một phiên bản độc hại, quét sạch số dư còn lại. Tiền được tập trung thành ETH, chuyển qua cầu khi cần thiết và phân phối qua nhiều địa chỉ. Các báo cáo ban đầu ghi nhận một số hoạt động liên quan đến Tornado Cash.

Mức thiệt hại lớn nhất được báo cáo là 840,9 WETH, trị giá hơn $1,9 triệu tại thời điểm vụ tấn công. Các tài sản khác bị rút bao gồm sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN và bitcoin, cùng với các tài sản trên chuỗi Base như VIRTUAL, AERO và cbBTC. Tổng giá trị bị khóa (TVL) của Wasabi trên các chuỗi đạt khoảng $8,5 triệu trước khi xảy ra vụ tấn công, theo dữ liệu từ Defillama.

Đây là sự cố quản lý khóa, không phải lỗ hổng hợp đồng thông minh. Không có lỗ hổng tái nhập (reentrancy) hay lỗ hổng logic nào liên quan. Kẻ tấn công có thể đã chiếm được khóa riêng tư thông qua lừa đảo, phần mềm độc hại hoặc trộm cắp trực tiếp, sau đó lợi dụng kiến trúc proxy có thể nâng cấp để rút tiền mà không kích hoạt các kiểm tra bảo mật thông thường.

Virtuals Protocol, nền tảng hỗ trợ tiền ký quỹ thông qua Wasabi, đã hành động nhanh chóng sau khi phát hiện vụ vi phạm. Nhóm đã đóng băng tất cả các khoản tiền ký quỹ và xác nhận hệ thống bảo mật của họ vẫn nguyên vẹn. Hoạt động giao dịch, rút tiền và các hoạt động của đại lý trên Virtuals vẫn diễn ra bình thường. Nhóm đã cảnh báo người dùng tránh ký bất kỳ giao dịch nào liên quan đến Wasabi.

Tính đến dữ liệu mới nhất, Wasabi Protocol chưa phát hành tuyên bố công khai hoặc bài đăng về sự cố. Giao thức này trước đây đã phản ứng nhanh chóng trong các sự cố không liên quan và có các báo cáo kiểm toán từ Zellic và Sherlock, nhưng cuộc tấn công này đã hoàn toàn vượt qua các biện pháp bảo vệ đó.

Người dùng có liên quan được khuyến cáo hủy bỏ ngay lập tức tất cả các quyền phê duyệt Wasabi trên Ethereum, Base và Blast. Các công cụ như Revoke.cash, Etherscan và Basescan có thể giúp xác định các quyền phê duyệt đang hoạt động. Tất cả các vị thế LP còn lại nên được rút ngay lập tức, và không nên ký bất kỳ giao dịch nào liên quan đến Wasabi cho đến khi đội ngũ xác nhận việc xoay vòng khóa và tính toàn vẹn đầy đủ của hợp đồng.

Sự cố này phù hợp với mô hình đã xuất hiện trong lĩnh vực DeFi vào năm 2026: các hợp đồng đại lý có thể nâng cấp kết hợp với các khóa quản trị tập trung tạo ra một điểm yếu duy nhất có thể vượt qua ngay cả mã nguồn đã được kiểm toán kỹ lưỡng. Khi một khóa kiểm soát quyền nâng cấp trên nhiều chuỗi, một sự cố duy nhất có thể trở thành sự kiện ảnh hưởng toàn bộ giao thức.

Vụ vi phạm Wasabi không xảy ra một cách cô lập. Tháng 4 năm 2026 đã chứng kiến hơn $600 triệu bị rút khỏi các giao thức DeFi qua khoảng một chục vụ việc được xác nhận, khiến đây trở thành một trong những tháng tồi tệ nhất trong lịch sử ngành. Tháng này bắt đầu vào ngày 1 tháng 4 với việc các hacker rút khoảng $285 triệu từ Drift Protocol trên Solana trong chưa đầy 20 phút thông qua thao túng quản trị và lạm dụng oracle.

Một đòn nặng nề thứ hai xảy ra vào khoảng ngày 18 tháng 4 khi một lỗ hổng trên cầu Layerzero tấn công KelpDAO trên Ethereum, rút cạn khoảng $292 triệu rsETH và gây ra hiệu ứng domino trị giá hơn $10 tỷ trên các nền tảng cho vay, bao gồm Aave. Các vụ tấn công nhỏ hơn cũng diễn ra trong suốt tháng trên Silo Finance, Cow Swap, Grinex, Rhea Finance và Aftermath Finance, cùng nhiều nền tảng khác.

Mô hình chung của hầu hết các sự cố đều không liên quan đến lỗi mã nguồn mà hướng đến việc lộ khóa quản trị, lỗ hổng cầu nối và rủi ro từ proxy có thể nâng cấp, phơi bày các điểm kiểm soát tập trung mà các cuộc kiểm toán đơn thuần không thể bảo vệ được.

Tình hình Wasabi vẫn đang diễn biến. Người dùng nên theo dõi tài khoản chính thức @wasabi_protocol và các nguồn tin từ các công ty an ninh để cập nhật thông tin.