Ang Wasabi Protocol ay nawalan ng $5.5M matapos ma-compromise ang isang admin key. Narito kung paano na-drain ng isang wallet ang milyun-milyon sa apat na chain sa loob ng ilang minuto.
Ang Wasabi Protocol ay dumanas ng malaking security breach noong Abril 30, 2025.
Isang attacker ang nag-compromise ng isang privileged deployer wallet, na nag-drain ng mahigit $5.5 milyon sa apat na blockchain network. Ang mga apektadong chain ay kinabibilangan ng Ethereum, Base, Berachain, at Blast.
Ang mga security firm na Blockaid, CertiK, at PeckShield ay lahat nag-flag ng insidente sa loob ng ilang oras. Kinumpirma ng Wasabi ang isyu pagsapit ng 10:30 a.m. UTC, na hinihimok ang mga user na agad na ihinto ang pakikipag-ugnayan sa mga kontrata nito.
Basahin din:
https://www.livebitcoinnews.com/sui-defi-hit-again-as-1-14m-is-drained-in-perp-exploit/
Paano Naganap ang Wasabi Protocol Admin Key Exploit
Ang pag-atake ay hindi nagsasangkot ng isang bug sa smart contract. Sa halip, nakuha ng attacker ang kontrol sa wasabideployer.eth, ang tanging may-hawak ng admin key ng Wasabi.
Ayon sa Blockaid, ang deployer wallet ay nagbigay ng ADMIN_ROLE sa isang malisyosong helper contract. Ang kontratang iyon ay nag-upgrade ng maraming perpetual futures vaults at isang LongPool, na direktang kumukuha ng mga pondo mula sa kanila.
π¨ Blockaid's exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool toβ¦
— Blockaid (@blockaid_) April 30, 2026
Iniulat ng Blockaid na humigit-kumulang $2.2 milyon ang umalis sa Ethereum, kabilang ang 841 wrapped ETH, USDC, at ilang memecoins. Isa pang $2.4 milyon ang lumipat mula sa Base.
Inilagay ng PeckShield ang kabuuang pagkalugi na higit sa $5 milyon sa lahat ng chain. Binanggit din ng security researcher na si Jeremy ang $5.5 milyon na nanakaw, na itinuturo ang mga vault ng WETH, PEPE, Mog, at USDC bilang mga target. Ang mga pondo ay napunta sa maraming address na kontrolado ng attacker.
Mga Kompromisong LP Token at Vault Contract sa Iba’t Ibang Chain
Nagbabala ang Blockaid na ang lahat ng Wasabi at Spicy LP-share token na nauugnay sa mga breach na vault ay dapat ituring na compromised. Ang mga pinagbabatayan na asset na sumusuporta sa mga token na iyon ay na-drain o nasa panganib.
Pinayuhan ng Blockaid ang mga platform na i-flag ang mga token na ito sa kanilang mga interface at hikayatin ang mga user na may aktibong approval na agad na bawiin ang access.
Siyam na vault contract sa Ethereum ang nakalista bilang compromised. Kabilang dito ang mga vault na wWETH, sUSDC, sREKT, wPEPE, wMog, wBITCOIN, sZYN, at ang LongPool.
Walong kontrata sa Base ang naapektuhan din, sumasaklaw sa mga vault na sUSDC, wWETH, sBTC/cbBTC, sVIRTUAL, sAERO, sBRETT, sWELL, at sSKI.
Kinumpirma ng foundation ng Berachain na alam nila ang breach. Pinahinto at itimlist nito ang mga apektadong Wasabi reward vault sa network nito at pinigilan ang karagdagang BGT emissions sa mga compromised na kontrata.
Pinayuhan ng Berachain ang mga user na nakipag-ugnayan sa Wasabi sa chain nito na bawiin ang mga approval ng token sa pamamagitan ng revoke.cash.
Berachain is aware of the Wasabi Protocol admin key compromise affecting multiple chains.
We have paused and blacklisted the affected Wasabi reward vaults on Berachain. No further BGT emissions will flow to the compromised contracts.
If you interacted with Wasabi on Berachain,β¦
— Berachain Foundation π»β (@berachain) April 30, 2026
Isang EOA, Walang Multisig: Nagtaas ng Alalahanin ang mga Security Expert
Ang ugat ng dahilan, ayon sa Blockaid, ay isang solong externally owned account na may hawak na buong ADMIN_ROLE sa PerpManager ng Wasabi.
Walang multisig, walang timelock, at walang DAO governance na nagpoprotekta sa access na iyon. Itinuro ng founder ng SlowMist na si Cos na kapag tumagas ang private key na iyon, walang makakapigil sa attacker at sa mga vault.
Ang on-chain investigator na si ZachXBT ay nagtanong kung bakit ang isang wallet ay may ganoong kalaking kontrol nang walang mga pangunahing safeguard. Bukod pa, sinabi ng analyst na si Ted Pillows na ang insidente ay nagpakita ng mga panganib ng privileged access na may kasamang upgradeable contracts.
Kinumpirma ng Berachain na nakikipagtulungan ito sa Blockaid at ZeroShadow sa patuloy na imbestigasyon. Ang kwentong ito ay umuunlad pa, at inaasahan ang mga karagdagang detalye habang nagpapatuloy ang imbestigasyon.
Mag-iwan ng Tugon