La plateforme de crypto-monnaie subit une faille de sécurité majeure, perdant des millions à cause d'un exploit interne présumé

DeFi ne peut pas arrêter le saignement, et le protocole Wasabi est le dernier à découvrir pourquoi.

Le protocole Wasabi, une plateforme de trading perpétuelle construite sur Ethereum et Base, a perdu environ 4,55 millions de dollars jeudi après que des attaquants ont compromis la clé de déploiement du protocole, a déclaré la société de sécurité Blockaid dans un article X.

Le piratage est le dernier en un mois qui a généré plus de 605 millions de dollars de pertes DeFi sur au moins 12 incidents.

Le mécanicien était un compte externe, ou EOA, appelé wasabideployer.eth qui détenait le seul ADMIN_ROLE dans le système d'autorisation de Wasabi.

Un EOA est un portefeuille contrôlé par une clé privée, par opposition à un contrat intelligent. Celui qui détient la clé contrôle le portefeuille. Une fois que l'attaquant a eu accès à la clé du déployeur, il a appelé grantRole sur le contrat d'autorisation pour s'octroyer des privilèges d'administrateur sans délai.

Leur contrat d'assistance a ensuite mis à niveau les coffres-forts Perp de Wasabi et LongPool vers des implémentations malveillantes qui ont vidé les soldes, a déclaré Blockaid.

L'exploit reposait sur la mise à niveau UUPS, un modèle dans lequel un contrat intelligent peut échanger son code sous-jacent tout en conservant la même adresse.

UUPS est largement utilisé car il permet aux développeurs de corriger les bugs sans migrer les utilisateurs. Cela signifie également que si un attaquant contrôle les autorisations d'administrateur, il peut remplacer la logique du contrat par tout ce qu'il veut, y compris du code conçu pour voler des fonds.

Wasabi n'avait ni timelock ni multisig protégeant le rôle d'administrateur, a déclaré Blockaid. Un timelock impose un délai entre le moment où une action d'administration est annoncée et le moment où elle s'exécute, donnant ainsi aux utilisateurs le temps de réagir. Un multisig nécessite plusieurs signataires pour approuver une modification. Wasabi n’avait ni l’un ni l’autre, laissant une seule clé détenant le contrôle total sur le protocole.

🚨 Le système de détection d'exploit de Blockaid a identifié un exploit de compromission de clé d'administrateur en cours sur @wasabi_protocol sur Ethereum et Base. Le Wasabi : Deployer EOA a été utilisé pour accorder ADMIN_ROLE à un contrat d'assistance à un attaquant, qui a ensuite mis à niveau les coffres-forts des perp et LongPool vers…— Blockaid (@blockaid_) 30 avril 2026

Les contrats compromis incluent les coffres-forts wWETH, sUSDC, wBITCOIN, wPEPE et Long Pool de Wasabi sur Ethereum, ainsi que ses coffres-forts sUSDC, wWETH, sBTC, sVIRTUAL, sAERO et sBRETT sur Base, selon Blockaid.

Les utilisateurs détenant des jetons Wasabi LP ont été invités à révoquer toute approbation active des contrats de coffre-fort, car les actifs sous-jacents soutenant ces jetons avaient été épuisés ou restaient à risque.

L'attaque Wasabi reflète étroitement l'exploit du Drift Protocol du 1er avril, lorsque des attaquants liés à la Corée du Nord ont utilisé une clé d'administration compromise pour drainer 285 millions de dollars de l'échange perpétuel basé sur Solana.

Dans ce cas, les attaquants ont également exploité une configuration d'administration à clé unique sans délai de gouvernance, répertoriant un faux jeton comme garantie et augmentant les limites de retrait pour drainer les actifs réels en environ 12 minutes.

Trois semaines plus tard, le 19 avril, Kelp DAO a perdu 292 millions de dollars lorsqu'un attaquant a exploité une configuration à vérificateur unique dans le pont LayerZero du protocole, libérant 116 500 rsETH non sauvegardés qui ont ensuite été utilisés comme garantie pour emprunter du véritable éther à Aave.

Le total cumulé des pertes DeFi pour 2026 a désormais dépassé 770 millions de dollars sur plus de 30 incidents signalés. Le mois d’avril représente à lui seul la majorité de ce chiffre.

Des violations plus petites ce mois-ci ont touché CoW Swap (1,2 million de dollars), Grinex (13,74 millions de dollars), Resolv Labs (23 millions de dollars), Volo Protocol (3,5 millions de dollars), entre autres.

Ce qui les lie n’est pas une nouvelle vulnérabilité. Chaque incident produit le même langage post-mortem sur les leçons apprises, mais le prochain exploit arrive généralement avant que les leçons ne soient mises en œuvre.

Wasabi n'a pas encore publié de déclaration publique sur l'incident.