Wasabi Protocol verlor 5,5 Mio. $, nachdem ein Admin-Key kompromittiert wurde. Hier erfahren Sie, wie eine Wallet innerhalb weniger Minuten Millionen über vier Chains abzog.
Wasabi Protocol erlitt am 30. April 2025 einen schwerwiegenden Sicherheitsvorfall.
Ein Angreifer kompromittierte eine privilegierte Deployer-Wallet und zog über 5,5 Millionen Dollar über vier Blockchain-Netzwerke ab. Zu den betroffenen Chains gehörten Ethereum, Base, Berachain und Blast.
Die Sicherheitsfirmen Blockaid, CertiK und PeckShield meldeten den Vorfall innerhalb weniger Stunden. Wasabi bestätigte das Problem bis 10:30 Uhr UTC und forderte die Nutzer auf, sofort die Interaktion mit seinen Verträgen einzustellen.
Lesen Sie auch:
https://www.livebitcoinnews.com/sui-defi-hit-again-as-1-14m-is-drained-in-perp-exploit/
Wie der Admin-Key-Exploit von Wasabi Protocol ablief
Der Angriff beruhte nicht auf einem Smart-Contract-Fehler. Stattdessen erlangte der Angreifer die Kontrolle über wasabideployer.eth, den alleinigen Inhaber des Admin-Keys von Wasabi.
Laut Blockaid gewährte die Deployer-Wallet einem bösartigen Helper-Vertrag die ADMIN_ROLE. Dieser Vertrag aktualisierte daraufhin mehrere Perpetual-Futures-Vaults und einen LongPool und entzog ihnen direkt Gelder.
🚨 Blockaid's exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool to…
— Blockaid (@blockaid_) April 30, 2026
Blockaid berichtete, dass etwa 2,2 Millionen Dollar von Ethereum abflossen, darunter 841 Wrapped ETH, USDC und mehrere Memecoins. Weitere 2,4 Millionen Dollar wurden von Base abgezogen.
PeckShield bezifferte die Gesamtverluste auf über 5 Millionen Dollar über alle Chains hinweg. Der Sicherheitsforscher Jeremy stellte ebenfalls 5,5 Millionen Dollar Diebstahl fest und nannte WETH-, PEPE-, Mog- und USDC-Vaults als Ziele. Die Gelder landeten auf mehreren vom Angreifer kontrollierten Adressen.
Kompromittierte LP-Token und Vault-Verträge über mehrere Chains
Blockaid warnte, dass alle Wasabi- und Spicy-LP-Share-Token, die mit den kompromittierten Vaults verbunden waren, als gefährdet betrachtet werden sollten. Die diesen Token zugrunde liegenden Vermögenswerte waren abgezogen oder gefährdet.
Blockaid empfahl Plattformen, diese Token in ihren Oberflächen zu kennzeichnen und Nutzer mit aktiven Genehmigungen aufzufordern, den Zugriff sofort zu widerrufen.
Neun Vault-Verträge auf Ethereum wurden als kompromittiert aufgeführt. Dazu gehörten die wWETH-, sUSDC-, sREKT-, wPEPE-, wMog-, wBITCOIN-, sZYN-Vaults und der LongPool.
Acht Verträge auf Base waren ebenfalls betroffen, darunter die sUSDC-, wWETH-, sBTC/cbBTC-, sVIRTUAL-, sAERO-, sBRETT-, sWELL- und sSKI-Vaults.
Die Berachain Foundation bestätigte, dass sie von dem Vorfall Kenntnis hatte. Sie pausierte und setzte betroffene Wasabi-Reward-Vaults in ihrem Netzwerk auf die schwarze Liste und stoppte weitere BGT-Emmissionen an die kompromittierten Verträge.
Berachain riet Nutzern, die auf seiner Chain mit Wasabi interagiert hatten, Token-Genehmigungen über revoke.cash zu widerrufen.
Berachain is aware of the Wasabi Protocol admin key compromise affecting multiple chains.
We have paused and blacklisted the affected Wasabi reward vaults on Berachain. No further BGT emissions will flow to the compromised contracts.
If you interacted with Wasabi on Berachain,…
— Berachain Foundation 🐻⛓ (@berachain) April 30, 2026
Einzelnes EOA, kein Multisig: Sicherheitsexperten äußern Bedenken
Die Ursache, wie Blockaid feststellte, war ein einzelnes extern verwaltetes Konto (EOA), das die volle ADMIN_ROLE im PerpManager von Wasabi innehatte.
Es gab kein Multisig, keine Timelock und keine DAO-Governance, die diesen Zugriff schützte. SlowMist-Gründer Cos wies darauf hin, dass nach dem Leck des privaten Schlüssels nichts mehr zwischen dem Angreifer und den Vaults stand.
Der On-Chain-Ermittler ZachXBT stellte Fragen dazu, warum eine einzige Wallet so viel Kontrolle ohne grundlegende Sicherheitsvorkehrungen besaß. Zudem merkte der Analyst Ted Pillows an, dass der Vorfall die Gefahren von privilegiertem Zugriff in Verbindung mit upgradebaren Verträgen verdeutliche.
Berachain bestätigte, dass es mit Blockaid und ZeroShadow an den laufenden Ermittlungen arbeite. Diese Geschichte entwickelt sich noch weiter, und es werden weitere Details erwartet, sobald die Untersuchung fortschreitet.
Schreibe einen Kommentar