El Protocolo Wasabi Pierde Más de $5 Millones en Exploit de Clave de Administrador
Qué sucedió
El protocolo de futuros perpetuos on-chain Wasabi fue hackeado el 30 de abril de 2026, y los atacantes drenaron más de 5 millones de dólares a través de Ethereum, Base, Berachain y Blast, según informó la firma de seguridad blockchain PeckShield.
El atacante obtuvo el ADMIN_ROLE a través de la billetera del desplegador (deployer) del protocolo —identificada como wasabideployer.eth, la única dirección que poseía dicho rol en el AccessManager del PerpManager de Wasabi— y luego actualizó las bóvedas (vaults) a una implementación maliciosa que succionó los saldos de los usuarios. Se estima que se extrajeron aproximadamente 4.55 millones de dólares en el recuento inicial, con investigaciones aún activas.
Wasabi reconoció el incidente en X, instando a los usuarios a evitar el uso del protocolo mientras las investigaciones están en curso, y confirmó que ha contratado a equipos profesionales de respuesta de seguridad on-chain, incluyendo a SEAL 911 y Blockaid. Block Field
We're aware of an issue and are actively investigating.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026
As a precaution, please do not interact with Wasabi contracts until further notice.
We'll share an update as soon as we have more information. Thanks for your patience.
Cómo se ejecutó el ataque
El ataque se llevó a cabo mediante un mecanismo conocido como exploit de actualización UUPS. Tras comprometer la cuenta del desplegador, el atacante inició una actualización de contrato que reemplazó el código seguro con lógica maliciosa, redirigiendo los fondos de las bóvedas y los pools de liquidez hacia sus propias direcciones. Debido a que el protocolo carecía de un mecanismo de bloqueo temporal (timelock), los cambios se implementaron instantáneamente, sin dejar margen para que los desarrolladores o los usuarios intervinieran.
Detalles técnicos clave de la brecha:
- El atacante llamó a
grantRoleen la EOA del desplegador con cero retraso, convirtiendo instantáneamente su contrato orquestador en administrador. - Los tokens de participación LP de Wasabi y Spicy de las bóvedas afectadas están marcados como comprometidos, con un valor de redención cercano a cero.
- Blockaid señaló que la misma dirección del atacante, el contrato orquestador y el código de bytes de la estrategia vinculan este incidente con actividades anteriores dirigidas a Wasabi.
- No existían salvaguardas como la autorización multifirma o retrasos temporales para evitar la ejecución inmediata de acciones maliciosas.
Abril de 2026: El peor mes registrado para las DeFi
El exploit de Wasabi no ocurrió de forma aislada. El hackeo cierra un mes brutal para las DeFi, marcado por dos grandes exploits y más de veinte incidentes menores. El ex jefe de DeFi en Monad señaló en X que abril de 2026 resultó en aproximadamente 635 millones de dólares perdidos en 28 incidentes en 30 días.
Los dos incidentes más grandes del mes fueron:
- Drift Protocol — El 1 de abril, el exchange de perpetuos basado en Solana sufrió aproximadamente 270 millones de dólares en salidas que abarcaron más de 15 tipos de tokens distintos, en lo que se informó como una operación vinculada al estado de Corea del Norte tras seis meses de preparación.
- Kelp DAO — El 18 de abril, un atacante sospechoso de estar respaldado por el estado de Corea del Norte explotó un puente LayerZero, falsificando un mensaje cross-chain que permitió la emisión de 116,500 rsETH sin nada bloqueado en el lado de origen. El atacante luego depositó los rsETH sin respaldo en Aave como colateral y tomó prestados aproximadamente 236 millones de dólares en WETH real.
La respuesta al incidente de Kelp ha incluido un esfuerzo colectivo sin precedentes entre protocolos DeFi e individuos, denominado DeFi United, que ha recaudado más de 300 millones de dólares para restaurar el respaldo del rsETH de Kelp.
La teoría del hacker de IA
La frecuencia y precisión de los exploits recientes ha renovado el debate sobre las herramientas que utilizan los atacantes. El desarrollador Vitto Rivabella planteó públicamente la teoría de que Corea del Norte entrenó un modelo de IA interno con años de datos DeFi robados, sugiriendo que ahora opera como un explotador autónomo que drena protocolos más rápido de lo que los revisores humanos pueden parchearlos. Aunque no está verificada, la hipótesis refleja una creciente preocupación en la comunidad de seguridad sobre la ventaja asimétrica que los atacantes pueden tener sobre los equipos de defensa de los protocolos.
Qué deben hacer los usuarios ahora
Los equipos de seguridad instan a las personas afectadas a revocar todos los permisos de contratos inteligentes asociados con el protocolo como un primer paso crítico. Herramientas como Revoke.cash pueden ayudar a eliminar el acceso otorgado previamente a contratos comprometidos. Los usuarios deben evitar interactuar con enlaces sospechosos o programas de recuperación no oficiales y monitorear únicamente los anuncios oficiales verificados.
Independientemente de si la IA está acelerando la ola actual de exploits, el incidente de Wasabi deja claro un problema estructural: las arquitecturas de administración de una sola llave sin bloqueos temporales ni controles multifirma siguen siendo una de las vulnerabilidades más explotables en las DeFi hoy en día.
Publicado por Coinplurk.com
Utilizamos tecnología de IA para presentar información de manera más rápida y eficiente. Sin embargo, todo el contenido pasa por un proceso de revisión humana. Si encuentra errores de datos o inexactitudes en este artículo, infórmelo a nuestro equipo editorial mediante el botón [Reportar Artículo].
Published by Coinplurk.com
Sobre el Autor
CoinPlurk News
Autor VerificadoVerified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.
Más artículos
6Visa, Mastercard y más de 140 empresas lanzan una stablecoin abierta en USD.
Una coalición formada por Visa, Mastercard, Stripe, Coinbase, BlackRock y más de 140 empresas adicionales ha lanzado Open USD, una criptomoneda estable vinculada al dólar diseñada para compartir el rendimiento de las reservas con las empresas que la utilizan.
La FIFA elige al Avalanche para el Mundial de 2026; el AVAX sube un 8%.
La decisión de la FIFA de construir su infraestructura de venta de entradas, fidelización y coleccionables digitales para el Mundial de 2026 sobre una cadena de bloques Avalanche dedicada ha dado a AVAX la señal alcista más fuerte en un mes, pero los analistas dicen que aún debe demostrarse una demanda sostenida.
Mastercard lanza AP4M para pagos a velocidad de máquina impulsados por IA
El nuevo servicio Agent Pay for Machines (AP4M) de Mastercard permite que los agentes de IA autoricen, orquesten y liquiden de forma autónoma micropagos de alta frecuencia a través de tarjetas, cuentas bancarias y stablecoins, con más de 30 socios del sector ya integrados.
Polymarket apunta a Japón con objetivo de aprobación para 2030
Polymarket ha designado un representante local y ha establecido un objetivo para 2030 de obtener la aprobación regulatoria en Japón, incluso cuando las estrictas leyes de juego del país y una ola global de restricciones a los mercados de predicciones hacen que el camino a seguir sea incierto.
La presentación de la OPI de SpaceX revela un tesoro en Bitcoin de 1,45 mil millones de dólares
La histórica presentación de SpaceX ante la SEC, antes de su debut en Nasdaq, ha revelado una posición de 18,712 BTC valorada en 1.450 millones de dólares, situando a la empresa aeroespacial entre los mayores tenedores corporativos conocidos de Bitcoin.
La primera tarjeta física de criptomonedas de Revolut se lanza en el Reino Unido y el EEE
Revolut ha lanzado su primera tarjeta física de débito cripto: una tarjeta temática de Dogecoin, equipada con LED, aceptada en cualquier lugar donde se soporte Visa y Mastercard, marcando un paso significativo en el impulso de la fintech por llevar el gasto de activos digitales a las finanzas de consumo diarias.

Centro Interactivo
0 Respuestas¿Tienes una sugerencia, pregunta o simplemente quieres dejar un comentario en este artículo? No dudes en escribir en la sección de discusión a continuación.
Inicia sesión para unirte a la discusión
Iniciar sesión ahoraAún no hay comentarios. ¡Sé el primero!