La plataforma de criptomonedas sufre una importante violación de seguridad y pierde millones por sospecha de explotación interna

DeFi no puede dejar de sangrar y el Protocolo Wasabi es el último en descubrir por qué.

Wasabi Protocol, una plataforma de comercio perpetuo construida sobre Ethereum y Base, perdió aproximadamente $4,55 millones el jueves después de que los atacantes comprometieron la clave de implementación del protocolo, dijo la firma de seguridad Blockaid en una publicación X.

El hackeo es el último en un mes que ha producido más de 605 millones de dólares en pérdidas de DeFi en al menos 12 incidentes.

El mecánico era una cuenta de propiedad externa, o EOA, llamada wasabideployer.eth tenía el único ADMIN_ROLE en el sistema de permisos de Wasabi.

Una EOA es una billetera controlada por una clave privada, a diferencia de un contrato inteligente. Quien tiene la llave controla la billetera. Una vez que el atacante tuvo acceso a la clave del implementador, invocó a GrantRole en el contrato de permiso para otorgarse privilegios de administrador sin demora.

Su contrato de ayuda luego actualizó las bóvedas de delincuentes de Wasabi y LongPool a implementaciones maliciosas que agotaron los saldos, dijo Blockaid.

El exploit se basó en la capacidad de actualización de UUPS, un patrón en el que un contrato inteligente puede intercambiar su código subyacente manteniendo la misma dirección.

UUPS se usa ampliamente porque permite a los desarrolladores corregir errores sin migrar usuarios. También significa que si un atacante controla los permisos de administrador, puede reemplazar la lógica del contrato con cualquier cosa que desee, incluido el código diseñado para robar fondos.

Wasabi no tenía ningún bloqueo de tiempo ni multifirma que protegiera la función de administrador, dijo Blockaid. Un bloqueo de tiempo fuerza un retraso entre el momento en que se anuncia una acción del administrador y el momento en que se ejecuta, lo que da tiempo a los usuarios para reaccionar. Una firma múltiple requiere que varios firmantes aprueben un cambio. Wasabi no tenía ninguna de las dos cosas, dejando una sola llave con control total sobre el protocolo.

🚨 El sistema de detección de exploits de Blockaid identificó un exploit de compromiso de clave de administrador en curso en @wasabi_protocol en Ethereum y Base. Wasabi: Deployer EOA se utilizó para otorgar ADMIN_ROLE a un contrato de ayuda de atacante, que luego UUPS actualizó las bóvedas del delincuente y LongPool a…— Blockaid (@blockaid_) 30 de abril de 2026

Los contratos comprometidos incluyen las bóvedas wWETH, sUSDC, wBITCOIN, wPEPE y Long Pool de Wasabi en Ethereum, además de sus bóvedas sUSDC, wWETH, sBTC, sVIRTUAL, sAERO y sBRETT en Base, según Blockaid.

Se instó a los usuarios que poseían tokens Wasabi LP a revocar cualquier aprobación activa de los contratos de bóveda, ya que los activos subyacentes que respaldaban esos tokens se habían agotado o seguían en riesgo.

El ataque de Wasabi refleja fielmente el exploit Drift Protocol del 1 de abril, cuando atacantes vinculados a Corea del Norte utilizaron una clave de administración comprometida para drenar 285 millones de dólares del intercambio perpetuo con sede en Solana.

En ese caso, los atacantes también explotaron una configuración de administrador de clave única sin bloqueo de tiempo de gobernanza, incluyendo un token falso como garantía y aumentando los límites de retiro para drenar los activos reales en aproximadamente 12 minutos.

Tres semanas después, el 19 de abril, Kelp DAO perdió 292 millones de dólares cuando un atacante explotó una configuración de verificador único en el puente LayerZero del protocolo, liberando 116.500 rsETH sin respaldo que luego se utilizaron como garantía para pedir prestado éter real a Aave.

La pérdida total acumulada de DeFi para 2026 ha superado los 770 millones de dólares en más de 30 incidentes reportados. Sólo abril representa la mayor parte de esa cifra.

Infracciones más pequeñas este mes han afectado a CoW Swap ($1,2 millones), Grinex ($13,74 millones), Resolv Labs ($23 millones), Volo Protocol ($3,5 millones), entre otros.

Lo que los une no es una nueva vulnerabilidad. Cada incidente produce el mismo lenguaje post mortem sobre las lecciones aprendidas, pero el siguiente exploit suele llegar antes de que se implementen las lecciones.

Wasabi aún no ha emitido una declaración pública sobre el incidente.