Wasabi Protocol verlor 5,5 Millionen US-Dollar, nachdem ein Admin-Schlüssel kompromittiert wurde. So hat eine Wallet innerhalb von Minuten Millionen über vier Ketten hinweg verschwendet.
Das Wasabi-Protokoll erlitt eineschwerwiegender Sicherheitsverstoßam 30. April 2025.
Ein Angreifer hat ein privilegiertes Deployer-Wallet kompromittiert und dabei über 5,5 Millionen US-Dollar in vier Blockchain-Netzwerken verschwendet. Zu den betroffenen Ketten gehörten Ethereum, Base, Berachain und Blast.
Die Sicherheitsfirmen Blockaid, CertiK und PeckShield meldeten den Vorfall alle innerhalb weniger Stunden. Wasabibestätigthat das Problem bis 10:30 Uhr UTC behoben und die Benutzer aufgefordert, die Interaktion mit den Verträgen sofort einzustellen.
Lesen Sie auch:
Sui DeFi schlägt erneut zu, da 1,14 Millionen US-Dollar durch Perp Exploit verschwendet werden
Wie sich der Admin-Key-Exploit des Wasabi-Protokolls abspielte
Bei dem Angriff handelte es sich nicht um einen Smart-Contract-Bug. Stattdessen erlangte der Angreifer die Kontrolle über wasabideployer.eth, Wasabis einzigen Admin-Schlüsselinhaber.
Laut Blockaid hat die Deployer-Wallet einem böswilligen Hilfsvertrag ADMIN_ROLE zugewiesen. Dieser Vertrag rüstete dann mehrere Tresore für ewige Terminkontrakte und einen LongPool auf und zog Gelder direkt von ihnen ab.
🚨 Das Exploit-Erkennungssystem von Blockaid hat einen laufenden Exploit zur Kompromittierung des Admin-Schlüssels identifiziert@wasabi_protocolüber Ethereum und Base. Der Wasabi: Deployer EOA wurde verwendet, um einem Angreifer-Helfervertrag ADMIN_ROLE zuzuweisen, der dann die Perp-Tresore und LongPool per UUPS aktualisierte, um…
— Blockaid (@blockaid_)30. April 2026
Blockaid berichtete, dass etwa 2,2 Millionen US-Dollar Ethereum verlassen haben, darunter 841 verpackte ETH, USDC und mehrere Memecoins. Weitere 2,4 Millionen US-Dollar wurden von Base abgezogen.
PeckShieldGeben Sie die Gesamtverluste anüber 5 Millionen US-Dollar in allen Ketten. Auch Sicherheitsforscher Jeremynotiert5,5 Millionen US-Dollar gestohlen, wobei die Tresore von WETH, PEPE, Mog und USDC als Ziele genannt wurden. Die Gelder landeten an mehreren vom Angreifer kontrollierten Adressen.
Kompromittierte LP-Tokens und Vault-Verträge über Ketten hinweg
Blockaid warnte davor, dass alle Wasabi- und Spicy-LP-Share-Tokens, die mit den angegriffenen Tresoren verknüpft sind, als kompromittiert behandelt werden sollten. Die diesen Token zugrunde liegenden Vermögenswerte waren erschöpft oder gefährdet.
Blockaid empfahl Plattformen, diese Token in ihren Schnittstellen zu kennzeichnen und Benutzer mit aktiven Genehmigungen aufzufordern, den Zugriff sofort zu widerrufen.
Neun Tresorverträge auf Ethereum wurden als kompromittiert aufgeführt. Dazu gehörten die Tresore wWETH, sUSDC, sREKT, wPEPE, wMog, wBITCOIN, sZYN und der LongPool.
Acht Verträge auf Base waren ebenfalls betroffen und deckten die Tresore sUSDC, wWETH, sBTC/cbBTC, sVIRTUAL, sAERO, sBRETT, sWELL und sSKI ab.
Die Stiftung von Berachain bestätigte, dass sie sich des Verstoßes bewusst war. Es hat die betroffenen Wasabi-Prämientresore in seinem Netzwerk pausiert und auf die schwarze Liste gesetzt und weitere BGT-Emissionen in die kompromittierten Verträge gestoppt.
Berachain empfahl Benutzern, die mit Wasabi in seiner Kette interagierten, die Token-Genehmigungen über revoke.cash zu widerrufen.
Berachain ist sich der Kompromittierung des Wasabi-Protokoll-Administratorschlüssels bewusst, die mehrere Ketten betrifft.
Wir haben die betroffenen Wasabi-Belohnungstresore auf Berachain pausiert und auf die schwarze Liste gesetzt. Den kompromittierten Verträgen werden keine weiteren BGT-Emissionen zufließen.
Wenn Sie mit Wasabi auf Berachain interagiert haben,…
— Berachain Foundation 🐻⛓ (@berachain)30. April 2026
Einzelnes EOA, kein Multisig: Sicherheitsexperten äußern Bedenken
Die Hauptursache war, wie Blockaid es identifizierte, ein einzelnes externes Konto mit der vollen ADMIN_ROLE in Wasabis PerpManager.
Es gab kein Multisig, keine Zeitsperre und keine DAO-Governance, die diesen Zugriff schützte. SlowMist-Gründer Cosdarauf hingewiesendass nach dem Durchsickern des privaten Schlüssels nichts mehr zwischen dem Angreifer und den Tresoren stand.
On-Chain-Ermittler ZachXBTFragen aufgeworfendarüber, warum eine Wallet so viel Kontrolle hatte, ohne dass grundlegende Sicherheitsvorkehrungen getroffen wurden. Außerdem Analyst Ted Pillowsnotiertdass der Vorfall die Gefahren eines privilegierten Zugriffs gepaart mit aktualisierbaren Verträgen deutlich machte.
Berachain bestätigte, dass es bei der laufenden Untersuchung mit Blockaid und ZeroShadow zusammenarbeitet. Diese Geschichte ist noch in der Entwicklung und weitere Einzelheiten werden im Laufe der Ermittlungen erwartet.
Quelle: Live Bitcoin News
Schreibe einen Kommentar