Le protocole Wasabi a perdu 5,5 millions de dollars après la compromission d’une clé d’administrateur. Voici comment un portefeuille a drainé des millions sur quatre chaînes en quelques minutes.
Le protocole Wasabi a subi unfaille de sécurité majeurele 30 avril 2025.
Un attaquant a compromis un portefeuille de déploiement privilégié, drainant plus de 5,5 millions de dollars sur quatre réseaux blockchain. Les chaînes concernées comprenaient Ethereum, Base, Berachain et Blast.
Les sociétés de sécurité Blockaid, CertiK et PeckShield ont toutes signalé l’incident en quelques heures. Wasabiconfirméle problème à 10h30 UTC, exhortant les utilisateurs à cesser immédiatement d’interagir avec ses contrats.
Lire aussi :
Sui DeFi a de nouveau frappé alors que 1,14 million de dollars sont drainés dans un exploit perp
Comment l’exploit de la clé d’administration du protocole Wasabi s’est déroulé
L’attaque n’impliquait pas de bug de contrat intelligent. Au lieu de cela, l’attaquant a pris le contrôle de wasabideployer.eth, le seul détenteur de la clé d’administration de Wasabi.
Selon Blockaid, le portefeuille du déployeur a accordé ADMIN_ROLE à un contrat d’assistance malveillant. Ce contrat a ensuite mis à niveau plusieurs coffres-forts à terme perpétuels et un LongPool, en extrayant directement des fonds.
🚨 Le système de détection d’exploit de Blockaid a identifié un exploit de compromission de clé d’administrateur en cours sur@protocole_wasabisur Ethereum et Base. Le Wasabi : Deployer EOA a été utilisé pour accorder ADMIN_ROLE à un contrat d’assistance à un attaquant, qui a ensuite mis à niveau les coffres-forts des perp et LongPool vers…
– Blockaid (@blockaid_)30 avril 2026
Blockaid a rapporté qu’environ 2,2 millions de dollars avaient quitté Ethereum, dont 841 ETH, USDC et plusieurs memecoins enveloppés. Un montant supplémentaire de 2,4 millions de dollars a été transféré de la base.
Bouclier Peckmettre les pertes totalesplus de 5 millions de dollars dans toutes les chaînes. Le chercheur en sécurité Jeremy égalementnoté5,5 millions de dollars volés, citant les coffres-forts WETH, PEPE, Mog et USDC comme cibles. Les fonds ont atterri sur plusieurs adresses contrôlées par les attaquants.
Jetons LP et contrats Vault compromis sur toutes les chaînes
Blockaid a averti que tous les jetons d’actions Wasabi et Spicy LP liés aux coffres-forts violés devraient être traités comme compromis. Les actifs sous-jacents soutenant ces jetons avaient été épuisés ou étaient menacés.
Blockaid a conseillé aux plateformes de signaler ces jetons dans leurs interfaces et d’inviter les utilisateurs disposant d’approbations actives à révoquer immédiatement l’accès.
Neuf contrats de coffre-fort sur Ethereum ont été répertoriés comme compromis. Ceux-ci comprenaient les coffres-forts wWETH, sUSDC, sREKT, wPEPE, wMog, wBITCOIN, sZYN et LongPool.
Huit contrats sur Base ont également été affectés, couvrant les coffres-forts sUSDC, wWETH, sBTC/cbBTC, sVIRTUAL, sAERO, sBRETT, sWELL et sSKI.
La fondation Berachain a confirmé qu’elle était au courant de la violation. Il a suspendu et mis sur liste noire les coffres-forts de récompenses Wasabi concernés sur son réseau et a arrêté d’autres émissions de BGT vers les contrats compromis.
Berachain a conseillé aux utilisateurs qui ont interagi avec Wasabi sur sa chaîne de révoquer les approbations de jetons via revoke.cash.
Berachain est conscient de la compromission de la clé d’administration du protocole Wasabi affectant plusieurs chaînes.
Nous avons suspendu et mis sur liste noire les coffres-forts de récompenses Wasabi concernés sur Berachain. Aucune autre émission de BGT ne sera versée aux contrats compromis.
Si vous avez interagi avec Wasabi sur Berachain,…
— Fondation Berachain 🐻⛓ (@berachain)30 avril 2026
EOA unique, pas de Multisig : les experts en sécurité expriment leurs inquiétudes
La cause première, comme Blockaid l’a identifié, était un seul compte externe détenant l’intégralité du ADMIN_ROLE dans PerpManager de Wasabi.
Il n’y avait pas de multisig, pas de timelock et aucune gouvernance DAO protégeant cet accès. Cos, fondateur de SlowMistsoulignéqu’une fois cette clé privée divulguée, plus rien ne s’opposait à l’attaquant et aux coffres-forts.
L’enquêteur en chaîne ZachXBTsoulevé des questionspourquoi un portefeuille exerçait autant de contrôle sans que des garanties de base soient mises en place. Besides, analyst Ted Pillowsnotéque l’incident a mis en évidence les dangers d’un accès privilégié associé à des contrats évolutifs.
Berachain a confirmé qu’elle travaillait avec Blockaid et ZeroShadow sur l’enquête en cours. Cette histoire est encore en développement et de plus amples détails sont attendus à mesure que l’enquête se poursuit.
Source : Live Bitcoin News
Laisser un commentaire