Криптовалютная платформа подверглась серьезному нарушению безопасности, потеряв миллионы из-за предполагаемого инсайдерского эксплойта
DeFi не может остановить кровотечение, и протокол Wasabi — последний, кто выяснил, почему.
Wasabi Protocol, бессрочная торговая платформа, построенная на Ethereum и Base, в четверг лишилась примерно 4,55 миллионов долларов после того, как злоумышленники скомпрометировали ключ развертывания протокола, сообщила охранная фирма Blockaid в посте X.
Этот взлом стал последним за месяц, в результате которого потери DeFi составили более 605 миллионов долларов как минимум в 12 инцидентах.
Механиком была внешняя учетная запись, или EOA, под названием wasabideployer.eth, которая занимала единственную роль ADMIN_ROLE в системе разрешений Wasabi.
EOA — это кошелек, управляемый закрытым ключом, в отличие от смарт-контракта. Тот, кто владеет ключом, контролирует кошелек. Как только злоумышленник получил доступ к ключу развертывания, он вызвал GrantRole в контракте разрешений, чтобы предоставить себе права администратора с нулевой задержкой.
По словам Blockaid, их помощникский контракт затем обновил хранилища преступников Wasabi и LongPool до вредоносных реализаций, которые опустошили балансы.
Эксплойт основывался на возможности обновления UUPS — шаблоне, при котором смарт-контракт может заменять свой базовый код, сохраняя тот же адрес.
UUPS широко используется, поскольку позволяет разработчикам исправлять ошибки без миграции пользователей. Это также означает, что если злоумышленник контролирует права администратора, он может заменить логику контракта чем угодно, включая код, предназначенный для кражи средств.
По словам Blockaid, у Wasabi не было временной блокировки или мультиподписи, защищающих роль администратора. Временная блокировка вызывает задержку между объявлением действия администратора и его выполнением, давая пользователям время отреагировать. Мультиподпись требует, чтобы несколько подписывающих сторон утвердили изменение. У Васаби не было ни того, ни другого, поэтому у Васаби был единственный ключ, обеспечивающий полный контроль над протоколом.
🚨 Система обнаружения эксплойтов Blockaid выявила продолжающуюся эксплойт, связанный с компрометацией ключа администратора на @wasabi_protocol в Ethereum и Base. EOA Wasabi: Deployer использовался для предоставления ADMIN_ROLE вспомогательному контракту злоумышленника, который затем UUPS обновил хранилища преступников и LongPool до… — Blockaid (@blockaid_), 30 апреля 2026 г.
Скомпрометированные контракты включают хранилища Wasabi wWETH, sUSDC, wBITCOIN, wPEPE и Long Pool на Ethereum, а также хранилища sUSDC, wWETH, sBTC, sVIRTUAL, sAERO и sBRETT на Base, по данным Blockaid.
Пользователям, владеющим токенами Wasabi LP, было рекомендовано отозвать любые активные разрешения на контракты хранилища, поскольку базовые активы, поддерживающие эти токены, либо были истощены, либо оставались под угрозой.
Атака Васаби во многом повторяет эксплойт Drift Protocol 1 апреля, когда злоумышленники, связанные с Северной Кореей, использовали скомпрометированный ключ администратора, чтобы вывести 285 миллионов долларов из базирующейся в Солане биржи бессрочных облигаций.
В этом случае злоумышленники также использовали настройку администратора с одним ключом без временной блокировки управления, указывая поддельный токен в качестве залога и повышая лимиты на снятие средств, чтобы истощить реальные активы примерно за 12 минут.
Три недели спустя, 19 апреля, Kelp DAO потеряла 292 миллиона долларов, когда злоумышленник воспользовался конфигурацией с одним верификатором в мосте LayerZero протокола, выпустив 116 500 необеспеченных rsETH, которые затем использовались в качестве залога для заимствования реального эфира у Aave.
Совокупная сумма убытков DeFi за 2026 год превысила 770 миллионов долларов США в результате более чем 30 зарегистрированных инцидентов. На один только апрель приходится большая часть этой цифры.
Менее крупные нарушения в этом месяце коснулись CoW Swap (1,2 миллиона долларов), Grinex (13,74 миллиона долларов), Resolv Labs (23 миллиона долларов), Volo Protocol (3,5 миллиона долларов) и других.
Их объединяет не новая уязвимость. Каждый инцидент приводит к одному и тому же посмертному изложению извлеченных уроков, но следующий эксплойт обычно появляется до того, как уроки будут реализованы.
Васаби пока не сделал публичного заявления по поводу инцидента.