Le Protocole Wasabi a perdu 5,5 millions de dollars après la compromission d’une clé administrateur. Voici comment un portefeuille a drainé des millions sur quatre chaînes en quelques minutes.
Le Protocole Wasabi a subi une importante brèche de sécurité le 30 avril 2025.
Un attaquant a compromis un portefeuille de déploiement privilégié, drainant plus de 5,5 millions de dollars sur quatre réseaux blockchain. Les chaînes concernées comprenaient Ethereum, Base, Berachain et Blast.
Les sociétés de sécurité Blockaid, CertiK et PeckShield ont toutes signalé l’incident en quelques heures. Wasabi a confirmé le problème vers 10 h 30 UTC, exhortant les utilisateurs à cesser immédiatement toute interaction avec ses contrats.
Lire aussi :
https://www.livebitcoinnews.com/sui-defi-hit-again-as-1-14m-is-drained-in-perp-exploit/
Comment l’exploitation de la clé administrateur du Protocole Wasabi s’est déroulée
L’attaque n’a pas impliqué de bogue de contrat intelligent. Au lieu de cela, l’attaquant a pris le contrôle de wasabideployer.eth, le seul détenteur de la clé administrateur de Wasabi.
Selon Blockaid, le portefeuille de déploiement a accordé le rôle ADMIN_ROLE à un contrat helper malveillant. Ce contrat a ensuite mis à niveau plusieurs coffres de contrats perpétuels et un LongPool, retirant directement les fonds de ces derniers.
🚨 Blockaid's exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool to…
— Blockaid (@blockaid_) April 30, 2026
Blockaid a rapporté qu’environ 2,2 millions de dollars ont quitté Ethereum, dont 841 wETH, USDC et plusieurs memecoins. 2,4 millions de dollars supplémentaires ont été transférés depuis Base.
PeckShield a estimé les pertes totales à plus de 5 millions de dollars sur toutes les chaînes. Le chercheur en sécurité Jeremy a également noté 5,5 millions de dollars volés, citant les coffres WETH, PEPE, Mog et USDC comme cibles. Les fonds ont atterri sur plusieurs adresses contrôlées par l’attaquant.
Tokens LP et contrats de coffre compromis sur plusieurs chaînes
Blockaid a averti que tous les tokens de part LP de Wasabi et Spicy liés aux coffres violés doivent être considérés comme compromis. Les actifs sous-jacents garantissant ces tokens avaient été drainés ou étaient à risque.
Blockaid a conseillé aux plateformes de signaler ces tokens dans leurs interfaces et d’inviter les utilisateurs disposant d’approbations actives à révoquer immédiatement l’accès.
Neuf contrats de coffre sur Ethereum ont été répertoriés comme compromis. Ceux-ci incluaient les coffres wWETH, sUSDC, sREKT, wPEPE, wMog, wBITCOIN, sZYN et le LongPool.
Huit contrats sur Base ont également été affectés, couvrant les coffres sUSDC, wWETH, sBTC/cbBTC, sVIRTUAL, sAERO, sBRETT, sWELL et sSKI.
La fondation Berachain a confirmé avoir connaissance de la brèche. Elle a suspendu et mis sur liste noire les coffres de récompenses Wasabi concernés sur son réseau et a stoppé les émissions supplémentaires de BGT vers les contrats compromis.
Berachain a conseillé aux utilisateurs ayant interagi avec Wasabi sur sa chaîne de révoquer les approbations de tokens via revoke.cash.
Berachain is aware of the Wasabi Protocol admin key compromise affecting multiple chains.
We have paused and blacklisted the affected Wasabi reward vaults on Berachain. No further BGT emissions will flow to the compromised contracts.
If you interacted with Wasabi on Berachain,…
— Berachain Foundation 🐻⛓ (@berachain) April 30, 2026
EOA unique, pas de multisig : les experts en sécurité s’inquiètent
La cause première, telle qu’identifiée par Blockaid, était un compte unique détenu en externe détenant l’intégralité du rôle ADMIN_ROLE dans le PerpManager de Wasabi.
Il n’y avait ni multisig, ni timelock, ni gouvernance DAO pour protéger cet accès. Le fondateur de SlowMist, Cos, a souligné qu’une fois cette clé privée divulguée, rien ne s’interposait entre l’attaquant et les coffres.
L’enquêteur on-chain ZachXBT a soulevé des questions sur la raison pour laquelle un seul portefeuille détenait autant de contrôle sans mesures de protection de base. De plus, l’analyste Ted Pillows a noté que l’incident mettait en lumière les dangers d’un accès privilégié combiné à des contrats évolutifs.
Berachain a confirmé travailler avec Blockaid et ZeroShadow sur l’enquête en cours. Cette histoire est encore en développement, et d’autres détails sont attendus à mesure que l’enquête se poursuit.
Laisser un commentaire