Die Kryptowährungsplattform erleidet einen schweren Sicherheitsverstoß und verliert Millionen durch mutmaßliche Insider-Exploits

DeFi kann nicht aufhören zu bluten, und das Wasabi-Protokoll ist das Neueste, um herauszufinden, warum.

Das Wasabi-Protokoll, eine auf Ethereum und Base basierende Perpetual-Handelsplattform, wurde am Donnerstag um etwa 4,55 Millionen US-Dollar beraubt, nachdem Angreifer den Deployer-Schlüssel des Protokolls kompromittiert hatten, sagte das Sicherheitsunternehmen Blockaid in einem X-Beitrag.

Der Hack ist der jüngste in einem Monat, der in mindestens 12 Vorfällen zu DeFi-Verlusten in Höhe von über 605 Millionen US-Dollar geführt hat.

Der Mechaniker war ein externes Konto oder EOA mit dem Namen wasabideployer.eth hatte die alleinige ADMIN_ROLE im Berechtigungssystem von Wasabi.

Ein EOA ist eine Wallet, die durch einen privaten Schlüssel gesteuert wird, im Gegensatz zu einem Smart Contract. Wer den Schlüssel besitzt, kontrolliert das Portemonnaie. Sobald der Angreifer Zugriff auf den Deployer-Schlüssel hatte, rief er grantRole im Berechtigungsvertrag auf, um sich selbst Administratorrechte ohne Verzögerung zu gewähren.

Ihr Hilfsvertrag rüstete dann Wasabis Tätertresore und LongPool auf böswillige Implementierungen um, die das Guthaben aufzehrten, sagte Blockaid.

Der Exploit beruhte auf der Aktualisierbarkeit von UUPS, einem Muster, bei dem ein Smart Contract seinen zugrunde liegenden Code austauschen und dabei die gleiche Adresse behalten kann.

UUPS wird häufig verwendet, da Entwickler damit Fehler beheben können, ohne Benutzer migrieren zu müssen. Das bedeutet auch, dass ein Angreifer, wenn er die Administratorberechtigungen kontrolliert, die Logik des Vertrags durch alles ersetzen kann, was er möchte, einschließlich Code, der zum Diebstahl von Geldern entwickelt wurde.

Wasabi hatte keine Zeitsperre oder Multisig zum Schutz der Administratorrolle, sagte Blockaid. Eine Zeitsperre erzwingt eine Verzögerung zwischen der Ankündigung einer Administratoraktion und ihrer Ausführung, sodass Benutzer Zeit zum Reagieren haben. Bei einem Multisig müssen mehrere Unterzeichner eine Änderung genehmigen. Wasabi hatte keines von beidem, so dass ein einziger Schlüssel die volle Kontrolle über das Protokoll hatte.

🚨 Das Exploit-Erkennungssystem von Blockaid hat einen laufenden Exploit zur Kompromittierung von Admin-Schlüsseln auf @wasabi_protocol in Ethereum und Base identifiziert. Der Wasabi: Deployer EOA wurde verwendet, um einem Angreifer-Helfer-Vertrag ADMIN_ROLE zu gewähren, der dann die Perp-Tresore und LongPool per UUPS auf … – Blockaid (@blockaid_) 30. April 2026 aktualisierte

Zu den kompromittierten Verträgen gehören Wasabis Tresore wWETH, sUSDC, wBITCOIN, wPEPE und Long Pool auf Ethereum sowie seine Tresore sUSDC, wWETH, sBTC, sVIRTUAL, sAERO und sBRETT auf Base, laut Blockaid.

Benutzer, die Wasabi LP-Token besitzen, wurden aufgefordert, alle aktiven Genehmigungen für die Tresorverträge zu widerrufen, da die zugrunde liegenden Vermögenswerte, die diese Token stützen, entweder erschöpft waren oder weiterhin gefährdet waren.

Der Wasabi-Angriff ähnelt stark dem Drift-Protokoll-Exploit vom 1. April, als mit Nordkorea verbundene Angreifer einen kompromittierten Admin-Schlüssel nutzten, um 285 Millionen US-Dollar von der in Solana ansässigen Perpetuals-Börse abzuschöpfen.

In diesem Fall nutzten die Angreifer auch ein Single-Key-Administrator-Setup ohne Governance-Zeitsperre aus, indem sie einen gefälschten Token als Sicherheit anboten und die Auszahlungslimits erhöhten, um echte Vermögenswerte in etwa 12 Minuten zu verbrauchen.

Drei Wochen später, am 19. April, verlor Kelp DAO 292 Millionen US-Dollar, als ein Angreifer eine Single-Verifier-Konfiguration in der LayerZero-Brücke des Protokolls ausnutzte und 116.500 ungesicherte rsETH freigab, die dann als Sicherheit verwendet wurden, um echten Ether von Aave zu leihen.

Die kumulierte DeFi-Schadenssumme für 2026 hat mittlerweile 770 Millionen US-Dollar bei mehr als 30 gemeldeten Vorfällen überschritten. Allein der April macht den Großteil dieser Zahl aus.

Kleinere Verstöße in diesem Monat betrafen unter anderem CoW Swap (1,2 Millionen US-Dollar), Grinex (13,74 Millionen US-Dollar), Resolv Labs (23 Millionen US-Dollar) und Volo Protocol (3,5 Millionen US-Dollar).

Was sie verbindet, ist keine neue Schwachstelle. Jeder Vorfall erzeugt die gleiche Post-Mortem-Sprache über die gewonnenen Erkenntnisse, aber der nächste Exploit erfolgt normalerweise, bevor die gewonnenen Erkenntnisse umgesetzt werden.

Wasabi hat zu dem Vorfall noch keine öffentliche Stellungnahme abgegeben.