Banner
NEWS

Wasabi-Protokoll verliert über 5 Millionen Dollar durch Admin-Key-Exploit

Wasabi-Protokoll verliert über 5 Millionen Dollar durch Admin-Key-Exploit
CoinPlurk News
CoinPlurk News
Verifizierte Quelle
Apr 30, 2026
0
ZUSAMMENFASSUNG
Titel: Wasabi-Protokoll verliert über 5 Millionen Dollar durch Admin-Key-Exploit
Kategorie: NEWS
Autor: CoinPlurk News
Veröffentlichungsdatum: 30 Apr 2026
ZUSAMMENFASSUNG: Ein Admin-Schlüssel-Kompromiss im Wert von über 5 Mio. $ leerte die permanenten Vaults des Wasabi-Protokolls über vier Chains hinweg und markierte, was Analysten als den schlimmsten Monat in der DeFi-Geschichte bezeichnen.
Detail

Was geschehen ist

Das On-Chain-Protokoll für Perpetual Futures, Wasabi, wurde am 30. April 2026 gehackt. Laut Berichten der Blockchain-Sicherheitsfirma PeckShield entwendeten die Angreifer über 5 Millionen US-Dollar über die Netzwerke Ethereum, Base, Berachain und Blast.

Der Angreifer erlangte die ADMIN_ROLE über die Deployer-Wallet des Protokolls – identifiziert als wasabideployer.eth, die einzige Adresse, die diese Rolle im PerpManager AccessManager von Wasabi innehatte. Anschließend wurden die Vaults auf eine bösartige Implementierung aktualisiert, die die Guthaben der Nutzer absaugte. Nach ersten Zählungen wurden etwa 4,55 Millionen US-Dollar extrahiert; die Untersuchungen dauern noch an.

Wasabi bestätigte den Vorfall auf X und forderte die Nutzer auf, das Protokoll während der laufenden Ermittlungen nicht zu verwenden. Zudem wurde bestätigt, dass professionelle On-Chain-Sicherheitsdienste, darunter SEAL 911 und Blockaid, eingeschaltet wurden.

Wie der Angriff ausgeführt wurde

Der Angriff erfolgte über einen Mechanismus, der als UUPS-Upgrade-Exploit bekannt ist. Nach der Kompromittierung des Deployer-Kontos initiierte der Angreifer ein Vertrags-Upgrade, das sicheren Code durch eine bösartige Logik ersetzte und Gelder aus Vaults und Liquiditätspools auf eigene Adressen umleitete. Da das Protokoll über keinen Timelock-Mechanismus verfügte, wurden die Änderungen sofort umgesetzt – Entwicklern oder Nutzern blieb kein Zeitfenster zum Eingreifen.

Wichtige technische Details der Sicherheitsverletzung:

  • Der Angreifer rief grantRole auf der Deployer-EOA ohne Verzögerung auf und wandelte seinen Orchestrator-Vertrag sofort in einen Admin um.
  • Wasabi- und Spicy LP-Share-Token aus den betroffenen Vaults wurden als kompromittiert markiert; ihr Rücknahmewert nähert sich Null.
  • Blockaid stellte fest, dass dieselbe Angreiferadresse, derselbe Orchestrator-Vertrag und derselbe Strategie-Bytecode diesen Vorfall mit früheren Aktivitäten gegen Wasabi in Verbindung bringen.
  • Es gab keine Sicherheitsvorkehrungen wie Multi-Signatur-Autorisierung oder Zeitverzögerungen, um die sofortige Ausführung bösartiger Aktionen zu verhindern.

April 2026: Der bisher schlimmste Monat für DeFi

Der Wasabi-Exploit war kein Einzelfall. Der Hack krönt einen verheerenden Monat für den DeFi-Sektor, der von zwei großen Exploits und über zwanzig kleineren Vorfällen geprägt war. Der ehemalige Leiter für DeFi bei Monad merkte auf X an, dass der April 2026 zu Verlusten von etwa 635 Millionen US-Dollar bei insgesamt 28 Vorfällen innerhalb von 30 Tagen führte.

Die zwei größten Vorfälle des Monats waren:

  • Drift Protocol – Am 1. April verzeichnete die auf Solana basierende Börse für Perpetuals Abflüsse von rund 270 Millionen US-Dollar, die mehr als 15 verschiedene Token-Arten umfassten. Es wurde berichtet, dass es sich um eine staatlich gesteuerte Operation aus Nordkorea handelte, die sechs Monate lang vorbereitet wurde.
  • Kelp DAO – Am 18. April nutzte ein vermutlich nordkoreanisch unterstützter Angreifer eine LayerZero-Bridge aus und fälschte eine Cross-Chain-Nachricht, die das Prägen von 116.500 rsETH ermöglichte, ohne dass auf der Quellseite Vermögenswerte gesperrt waren. Der Angreifer hinterlegte die ungedeckten rsETH anschließend als Sicherheit bei Aave und lieh sich etwa 236 Millionen US-Dollar in echten WETH.

Die Reaktion auf den Kelp-Vorfall beinhaltete eine beispiellose kollektive Anstrengung von DeFi-Protokollen und Einzelpersonen unter dem Namen „DeFi United“, bei der über 300 Millionen US-Dollar gesammelt wurden, um die Deckung von Kelps rsETH wiederherzustellen.

Die KI-Hacker-Theorie

Die Häufigkeit und Präzision jüngster Exploits hat die Debatte über die von Angreifern verwendeten Werkzeuge neu entfacht. Der Entwickler Vitto Rivabella äußerte öffentlich die Theorie, dass Nordkorea ein internes KI-Modell mit jahrelang gestohlenen DeFi-Daten trainiert hat. Er suggerierte, dass dieses Modell nun als autonomer Exploiter fungiert, der Protokolle schneller leert, als menschliche Prüfer Patches bereitstellen können. Obwohl unbestätigt, spiegelt diese Hypothese die wachsende Besorgnis in der Sicherheits-Community über den asymmetrischen Vorteil wider, den Angreifer gegenüber den Verteidigungsteams von Protokollen haben könnten.

Was Nutzer jetzt tun sollten

Sicherheitsteams fordern betroffene Personen dringend auf, als ersten kritischen Schritt alle mit dem Protokoll verbundenen Smart-Contract-Berechtigungen zu widerrufen (Revoke). Tools wie Revoke.cash können dabei helfen, zuvor erteilte Zugriffe auf kompromittierte Verträge zu entfernen. Nutzer sollten Interaktionen mit verdächtigen Links oder inoffiziellen Wiederherstellungsprogrammen vermeiden und ausschließlich verifizierte offizielle Ankündigungen verfolgen.

Unabhängig davon, ob KI die aktuelle Welle von Exploits beschleunigt, macht der Wasabi-Vorfall ein strukturelles Problem unmissverständlich deutlich: Single-Key-Admin-Architekturen ohne Timelocks oder Multi-Signatur-Kontrollen gehören nach wie vor zu den am leichtesten ausnutzbaren Schwachstellen im heutigen DeFi-Sektor.


Veröffentlicht von Coinplurk.com

Redaktioneller Hinweis

Wir nutzen KI-Technologie, um Informationen schneller und effizienter bereitzustellen. Alle Inhalte durchlaufen jedoch weiterhin einen menschlichen Überprüfungsprozess. Wenn Sie Datenfehler oder sachliche Ungenauigkeiten in diesem Artikel finden, melden Sie diese bitte über die Schaltfläche [Artikel melden] an unser Redaktionsteam.

Published by Coinplurk.com

CoinPlurk News

Über den Autor

CoinPlurk News

Verifizierter Autor

Verified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.

Weitere Artikel

6
NEWS

Visa, Mastercard und über 140 weitere Unternehmen bringen den Open USD Stablecoin auf den Markt.

Eine Koalition aus Visa, Mastercard, Stripe, Coinbase, BlackRock und mehr als 140 weiteren Unternehmen hat Open USD ins Leben gerufen, einen an den Dollar gekoppelten Stablecoin, der die Erträge aus den Reserven mit den Unternehmen teilen soll, die ihn nutzen.

CoinPlurk News Jul 01, 2026
NEWS

FIFA holt Avalanche als WM-Entwickler 2026; AVAX-Aktie steigt um 8 %

Die Entscheidung der FIFA, ihre Ticketing-, Treue- und digitale Sammlerinfrastruktur für die Weltmeisterschaft 2026 auf einer dedizierten Avalanche-Blockchain aufzubauen, hat AVAX das stärkste Aufwärtssignal seit einem Monat gegeben – Analysten sagen jedoch, dass eine nachhaltige Nachfrage noch nachgewiesen werden muss.

CoinPlurk News Jun 17, 2026
NEWS

Mastercard führt AP4M für KI-Zahlungen in Maschinengeschwindigkeit ein

Das neue „Agent Pay for Machines“ (AP4M)-Verfahren von Mastercard ermöglicht es KI-Agenten, hochfrequente Mikrozahlungen über Karten, Bankkonten und Stablecoins hinweg autonom zu autorisieren, zu orchestrieren und abzuwickeln – wobei bereits mehr als 30 Branchenpartner mit an Bord sind.

CoinPlurk News Jun 15, 2026
NEWS

Polymarket richtet sein Augenmerk auf Japan mit Ziel einer Zulassung bis 2030

Polymarket hat einen lokalen Vertreter ernannt und ein Ziel für die regulatorische Genehmigung in Japan bis 2030 gesetzt, selbst angesichts der strengen Glücksspielgesetze des Landes und einer globalen Welle von Prognosemärkten

CoinPlurk News May 22, 2026
NEWS

SpaceX-IPO-Einreichung enthüllt 1,45 Mrd. $ Bitcoin-Schatz

Die wegweisende SEC-Anmeldung von SpaceX vor seinem Nasdaq-Debüt hat eine Position von 18.712 BTC im Wert von 1,45 Milliarden US-Dollar offenbart, wodurch das Luft- und Raumfahrtunternehmen zu den größten bekannten Unternehmensinhabern von Bitcoin gehört.

CoinPlurk News May 21, 2026
NEWS

Revoluts erste physische Krypto-Karte geht im Vereinigten Königreich und EWR live

Revolut hat seine erste physische Krypto-Debitkarte eingeführt – eine Dogecoin-Design-Karte mit LED-Beleuchtung, die überall akzeptiert wird, wo Visa und Mastercard unterstützt werden – und markiert damit einen bedeutenden Schritt im Bestreben des Fintech-Unternehmens, den Einsatz digitaler Vermögenswerte in den alltäglichen Konsumfinanzen zu bringen.

CoinPlurk News May 19, 2026

Interaktiver Hub

0 Antworten

Haben Sie einen Vorschlag, eine Frage oder möchten Sie einfach einen Kommentar zu diesem Artikel hinterlassen? Schreiben Sie gerne im Diskussionsbereich unten.

Bitte anmelden, um an der Diskussion teilzunehmen

Jetzt anmelden

Noch keine Kommentare. Schreiben Sie den ersten!

CoinPlurk Web3 Gateway Platform

⚠ Wichtiger Haftungsausschluss
Coinplurk ist eine Web3-Gateway-Plattform, die aktuelle Web3-News, Daten und Anwendungsbewertungen bereitstellt. Alle Inhalte dienen ausschließlich Informationszwecken und stellen keine Anlageberatung, Finanzberatung oder Aufforderung zum Kauf/Verkauf von Kryptowährungen dar. Sie tragen die alleinige Verantwortung für alle finanziellen Entscheidungen. Wir empfehlen Ihnen dringend, eigene Recherchen durchzuführen (DYOR – Do Your Own Research), bevor Sie eine Web3-Plattform nutzen.

© 2026 CoinPlurk | All Rights Reserved