NEWS

El Protocolo Wasabi Pierde Más de $5 Millones en Exploit de Clave de Administrador

Coin Plurk

Fuente verificada

Apr 30, 2026

RESUMEN

Título: El Protocolo Wasabi Pierde Más de $5 Millones en Exploit de Clave de Administrador

Categoría: NEWS

Autor: Coin Plurk

Fecha de publicación: 30 Apr 2026

RESUMEN: Un compromiso de clave administrativa de más de $5 millones drenó las bóvedas perpetuas de Wasabi Protocol en cuatro cadenas, marcando lo que los analistas llaman el peor mes de DeFi registrado.

Detalle

Qué sucedió

El protocolo de futuros perpetuos on-chain Wasabi fue hackeado el 30 de abril de 2026, y los atacantes drenaron más de 5 millones de dólares a través de Ethereum, Base, Berachain y Blast, según informó la firma de seguridad blockchain PeckShield.

El atacante obtuvo el ADMIN_ROLE a través de la billetera del desplegador (deployer) del protocolo —identificada como wasabideployer.eth, la única dirección que poseía dicho rol en el AccessManager del PerpManager de Wasabi— y luego actualizó las bóvedas (vaults) a una implementación maliciosa que succionó los saldos de los usuarios. Se estima que se extrajeron aproximadamente 4.55 millones de dólares en el recuento inicial, con investigaciones aún activas.

Wasabi reconoció el incidente en X, instando a los usuarios a evitar el uso del protocolo mientras las investigaciones están en curso, y confirmó que ha contratado a equipos profesionales de respuesta de seguridad on-chain, incluyendo a SEAL 911 y Blockaid. Block Field

We're aware of an issue and are actively investigating.

As a precaution, please do not interact with Wasabi contracts until further notice.

We'll share an update as soon as we have more information. Thanks for your patience.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026

Cómo se ejecutó el ataque

El ataque se llevó a cabo mediante un mecanismo conocido como exploit de actualización UUPS. Tras comprometer la cuenta del desplegador, el atacante inició una actualización de contrato que reemplazó el código seguro con lógica maliciosa, redirigiendo los fondos de las bóvedas y los pools de liquidez hacia sus propias direcciones. Debido a que el protocolo carecía de un mecanismo de bloqueo temporal (timelock), los cambios se implementaron instantáneamente, sin dejar margen para que los desarrolladores o los usuarios intervinieran.

Detalles técnicos clave de la brecha:

El atacante llamó a grantRole en la EOA del desplegador con cero retraso, convirtiendo instantáneamente su contrato orquestador en administrador.
Los tokens de participación LP de Wasabi y Spicy de las bóvedas afectadas están marcados como comprometidos, con un valor de redención cercano a cero.
Blockaid señaló que la misma dirección del atacante, el contrato orquestador y el código de bytes de la estrategia vinculan este incidente con actividades anteriores dirigidas a Wasabi.
No existían salvaguardas como la autorización multifirma o retrasos temporales para evitar la ejecución inmediata de acciones maliciosas.

Abril de 2026: El peor mes registrado para las DeFi

El exploit de Wasabi no ocurrió de forma aislada. El hackeo cierra un mes brutal para las DeFi, marcado por dos grandes exploits y más de veinte incidentes menores. El ex jefe de DeFi en Monad señaló en X que abril de 2026 resultó en aproximadamente 635 millones de dólares perdidos en 28 incidentes en 30 días.

Los dos incidentes más grandes del mes fueron:

Drift Protocol — El 1 de abril, el exchange de perpetuos basado en Solana sufrió aproximadamente 270 millones de dólares en salidas que abarcaron más de 15 tipos de tokens distintos, en lo que se informó como una operación vinculada al estado de Corea del Norte tras seis meses de preparación.
Kelp DAO — El 18 de abril, un atacante sospechoso de estar respaldado por el estado de Corea del Norte explotó un puente LayerZero, falsificando un mensaje cross-chain que permitió la emisión de 116,500 rsETH sin nada bloqueado en el lado de origen. El atacante luego depositó los rsETH sin respaldo en Aave como colateral y tomó prestados aproximadamente 236 millones de dólares en WETH real.

La respuesta al incidente de Kelp ha incluido un esfuerzo colectivo sin precedentes entre protocolos DeFi e individuos, denominado DeFi United, que ha recaudado más de 300 millones de dólares para restaurar el respaldo del rsETH de Kelp.

La teoría del hacker de IA

La frecuencia y precisión de los exploits recientes ha renovado el debate sobre las herramientas que utilizan los atacantes. El desarrollador Vitto Rivabella planteó públicamente la teoría de que Corea del Norte entrenó un modelo de IA interno con años de datos DeFi robados, sugiriendo que ahora opera como un explotador autónomo que drena protocolos más rápido de lo que los revisores humanos pueden parchearlos. Aunque no está verificada, la hipótesis refleja una creciente preocupación en la comunidad de seguridad sobre la ventaja asimétrica que los atacantes pueden tener sobre los equipos de defensa de los protocolos.

Qué deben hacer los usuarios ahora

Los equipos de seguridad instan a las personas afectadas a revocar todos los permisos de contratos inteligentes asociados con el protocolo como un primer paso crítico. Herramientas como Revoke.cash pueden ayudar a eliminar el acceso otorgado previamente a contratos comprometidos. Los usuarios deben evitar interactuar con enlaces sospechosos o programas de recuperación no oficiales y monitorear únicamente los anuncios oficiales verificados.

Independientemente de si la IA está acelerando la ola actual de exploits, el incidente de Wasabi deja claro un problema estructural: las arquitecturas de administración de una sola llave sin bloqueos temporales ni controles multifirma siguen siendo una de las vulnerabilidades más explotables en las DeFi hoy en día.

Publicado por Coinplurk.com

Discusión de la comunidad

0 Respuestas

Inicia sesión para unirte a la discusión

Iniciar sesión ahora

Aún no hay comentarios. ¡Sé el primero!