30 апреля 2026
Протокол Wasabi был использован на сумму более 5 миллионов долларов в эксплойте на Ethereum, Base, Berachain и Blast.
Скомпрометированный ключ администратора из кошелька Wasabi для обновления контрактов и расхода средств.
Этот эксплойт сигнализирует о продолжающихся рисках для администраторских ключей и может вызвать новые опасения после того, как в апреле 2026 года было потеряно более $600 млн.
30 апреля 2026 года Wasabi Protocol подвергся крупному эксплойту, который потратил более 5 миллионов долларов на Ethereum (ETH), Base, Berachain и Blast. Фирмы безопасности Blockaid, CertiK и PeckShield подтвердили, что злоумышленники использовали скомпрометированный администраторский ключ из кошелька для обновления контрактов и кражи средств из пулов ликвидности и сейфов. Команда предупредила пользователей прекратить взаимодействие со всеми контрактами.
Протокол Wasabi пострадал от мультичейнного эксплойта стоимостью более 5 миллионов долларов
По данным источников, PeckShield, Blockaid и CertiK сообщают, что злоумышленники использовали Wasabi Protocol — платформу деривативов DeFi, потратив более 5 миллионов долларов на ETH, Base, Berachain и Blast. Атака была направлена на пулы ликвидности и хранилища в этих сетях. Ключевые детали на блокчейне включают:
Адрес атакующего: 0x02228b0afcdbEdf8180D96Fc181Da3AF5DD1d1ab
Транзакция по улучшению привилегированного доступа/контракта: 0x985b4cde1075c67841d0f9fd897da34c9da53d77f6e23b5a19653ebff4a6fac1
Примечательно, что злоумышленники истощали множество активов, включая WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO и VIRTUAL. Они консолидировали украденные средства в ETH, соединили их с сетью Ethereum и распределили по нескольким адресам.
Как скомпрометированный ключ администратора активировал эксплойт
Коренной причиной стал скомпрометированный ключ администратора, связанный с кошельком Wasabi deployer (внешней учётной записью (EOA), известной как wasabideployer.eth), который злоумышленники использовали. Этот EOA обладал единственным ADMIN_ROLE в системе контроля доступа протокола.
Используя скомпрометированный ключ, злоумышленники предоставили ADMIN_ROLE контракту помощника, контролируемого злоумышленниками. Blockaid и CertiK заявили , что «скомпрометированный администраторский ключ позволил злоумышленнику получить привилегированный доступ через кошелёк Wasabi deployer, обновить основные системы и вывести средства».
Злоумышленники выполняли UUPS-обновления основных контрактов протокола Wasabi, включая LongPool, ShortPool, хранилища для претендентов и контракты Vault, получая повышенные права, позволяющие им поглощать ликвидность и базовые активы в нескольких цепочках, при этом BlockSec сообщает, что кошельки, финансируемые Tornado Cash, получали административные роли и активно участвовали в транзакциях по пулам ключей и сейфам протокола.
Более широкое влияние на безопасность DeFi и что дальше?
Этот инцидент завершает один из худших месяцев за всю историю DeFi-эксплойтов. В апреле 2026 года было потеряно более 600 миллионов долларов по более чем 25 инцидентам. Атака по протоколу Wasabi ещё больше подорвала доверие и может вызвать новые опасения по поводу безопасности администраторских ключей во всей экосистеме.
Источник: DeFiLlama
Эксплойт последовал за масштабными утечками, такими как Kelp DAO ($293 млн) и Drift Protocol ($285 млн). Эти повторяющиеся атаки подчёркивают продолжающиеся риски, связанные с безопасностью ключей администратора, привилегированным доступом и кроссчейн-инфраструктурой.
Тем временем Wasabi Protocol продолжает расследование инцидента и призывает пользователей избегать всех контрактов до дальнейших уведомлений. Virtuals Protocol заморозил связанные маржинальные депозиты в качестве меры предосторожности. Отраслевые эксперты теперь требуют более мощных мультиподписных кошельков, механизмов таймлока и улучшенной операционной безопасности, чтобы предотвратить будущие сбои в одной точке.
Связано: Rhea Finance пострадала от эксплойта на $7,6 млн после атаки на фейковый пул токенов
Под заказ
В наличии
