Wasabi Protocol perd plus de 5 millions de dollars suite à une faille de sécurité liée à sa clé d'administration.
Ce qui s'est passé
Le protocole de contrats à terme perpétuels on-chain Wasabi a été piraté le 30 avril 2026, les attaquants ayant drainé plus de 5 millions de dollars à travers Ethereum, Base, Berachain et Blast, comme l'a rapporté la société de sécurité blockchain PeckShield.
L'attaquant a obtenu le rôle ADMIN_ROLE via le portefeuille de déploiement du protocole — identifié comme wasabideployer.eth, la seule adresse détenant ce rôle dans l'AccessManager du PerpManager de Wasabi — puis a mis à niveau les coffres-forts vers une implémentation malveillante qui a siphonné les soldes des utilisateurs. Environ 4,55 millions de dollars avaient été extraits lors du premier décompte, alors que les enquêtes sont toujours en cours.
Wasabi a reconnu l'incident sur X, exhortant les utilisateurs à éviter d'utiliser le protocole pendant que les investigations se poursuivent, et a confirmé avoir engagé des intervenants professionnels en sécurité on-chain, notamment SEAL 911 et Blockaid.
We're aware of an issue and are actively investigating.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026
As a precaution, please do not interact with Wasabi contracts until further notice.
We'll share an update as soon as we have more information. Thanks for your patience.
Comment l'attaque a été exécutée
L'attaque a été réalisée via un mécanisme connu sous le nom d'exploitation de mise à niveau UUPS. Après avoir compromis le compte du déployeur, l'attaquant a initié une mise à niveau de contrat qui a remplacé le code sécurisé par une logique malveillante, redirigeant les fonds des coffres-forts et des pools de liquidité vers ses propres adresses. Parce que le protocole manquait d'un mécanisme de verrouillage temporel (timelock), les changements ont été mis en œuvre instantanément — ne laissant aucune fenêtre d'intervention aux développeurs ou aux utilisateurs.
Détails techniques clés de la brèche :
- L'attaquant a appelé
grantRolesur l'EOA du déployeur avec un délai nul, convertissant instantanément son contrat orchestrateur en administrateur. - Les jetons de part LP Wasabi et Spicy des coffres-forts affectés sont signalés comme compromis, leur valeur de rachat approchant de zéro.
- Blockaid a noté que la même adresse d'attaquant, le même contrat orchestrateur et le même bytecode de stratégie lient cet incident à une activité antérieure ciblant Wasabi.
- Il n'y avait aucune sauvegarde telle qu'une autorisation multi-signature ou des délais temporels pour empêcher l'exécution immédiate d'actions malveillantes.
Avril 2026 : Le pire mois jamais enregistré pour la DeFi
L'exploitation de Wasabi ne s'est pas produite de manière isolée. Ce piratage clôture un mois brutal pour la DeFi, marqué par deux exploitations majeures et plus de vingt incidents mineurs. L'ancien responsable de la DeFi chez Monad a noté sur X qu'avril 2026 a entraîné la perte d'environ 635 millions de dollars répartis sur 28 incidents en 30 jours.
Les deux incidents les plus importants du mois ont été :
- Drift Protocol — Le 1er avril, la plateforme d'échange de perpétuels basée sur Solana a subi environ 270 millions de dollars de sorties de capitaux couvrant plus de 15 types de jetons distincts, dans ce qui a été rapporté comme une opération liée à l'État nord-coréen en préparation depuis six mois.
- Kelp DAO — Le 18 avril, un attaquant soupçonné d'être soutenu par l'État nord-coréen a exploité un pont LayerZero, forgeant un message cross-chain qui a permis de frapper 116 500 rsETH sans aucun blocage du côté source. L'attaquant a ensuite déposé les rsETH non garantis dans Aave comme collatéral et a emprunté environ 236 millions de dollars en véritable WETH.
La réponse à l'incident de Kelp a inclus un effort collectif sans précédent entre les protocoles DeFi et les particuliers, baptisé DeFi United, qui a levé plus de 300 millions de dollars pour restaurer la garantie du rsETH de Kelp.
La théorie du hacker-IA
La fréquence et la précision des récentes exploitations ont relancé le débat sur les outils utilisés par les attaquants. Le développeur Vitto Rivabella a publiquement avancé la théorie selon laquelle la Corée du Nord aurait entraîné un modèle d'IA interne sur des années de données DeFi volées, suggérant qu'il opère désormais comme un exploiteur autonome drainant les protocoles plus rapidement que les examinateurs humains ne peuvent les corriger. Bien que non vérifiée, l'hypothèse reflète une préoccupation croissante de la communauté de la sécurité concernant l'avantage asymétrique que les attaquants pourraient détenir sur les équipes de défense des protocoles.
Ce que les utilisateurs doivent faire maintenant
Les équipes de sécurité exhortent les personnes concernées à révoquer toutes les autorisations de contrats intelligents associées au protocole comme première étape critique. Des outils tels que Revoke.cash peuvent aider à supprimer l'accès précédemment accordé aux contrats compromis. Les utilisateurs doivent éviter d'interagir avec des liens suspects ou des programmes de récupération non officiels et surveiller uniquement les annonces officielles vérifiées.
Que l'IA accélère ou non la vague actuelle d'exploitations, l'incident Wasabi rend un problème structurel indéniablement clair : les architectures d'administration à clé unique sans verrouillage temporel ni contrôles multi-signatures restent parmi les vulnérabilités les plus exploitables de la DeFi aujourd'hui.
Publié par Coinplurk.com
Nous utilisons la technologie IA pour présenter les informations plus rapidement et efficacement. Cependant, tout le contenu passe par un processus de révision humaine. Si vous trouvez des erreurs de données ou des inexactitudes dans cet article, veuillez les signaler à notre équipe éditoriale via le bouton [Signaler l'article].
Published by Coinplurk.com
Ă€ propos de l'auteur
CoinPlurk News
Auteur VérifiéVerified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.
Plus d'articles
6Visa, Mastercard et plus de 140 entreprises lancent un stablecoin ouvert en USD
Une coalition regroupant Visa, Mastercard, Stripe, Coinbase, BlackRock et plus de 140 autres entreprises a lancé Open USD, un stablecoin indexé sur le dollar conçu pour partager les rendements de réserve avec les entreprises qui l'utilisent.
La FIFA choisit Avalanche pour la Coupe du monde 2026 ; l'action AVAX bondit de 8 %.
La décision de la FIFA de construire son infrastructure de billetterie, de fidélisation et d'objets de collection numériques pour la Coupe du monde 2026 sur une blockchain Avalanche dédiée a donné à AVAX son signal haussier le plus fort depuis un mois, mais les analystes affirment que la demande soutenue reste à prouver.
Mastercard Launches AP4M for AI Machine-Speed Payments
Mastercard's new Agent Pay for Machines (AP4M) service enables AI agents to autonomously permission, orchestrate, and settle high-frequency micro-payments across cards, bank accounts, and stablecoins — with more than 30 industry partners already on board.
Polymarket vise le Japon avec un objectif d'approbation en 2030.
Polymarket a nommé un représentant local et s'est fixé pour objectif 2030 l'approbation réglementaire au Japon, alors même que les lois strictes du pays en matière de jeux d'argent et une vague mondiale de restrictions sur le marché des prédictions rendent la voie à suivre incertaine.
Le document d'introduction en bourse de SpaceX révèle un trésor en bitcoins de 1,45 milliard de dollars.
Le document historique déposé par SpaceX auprès de la SEC avant son entrée en bourse au Nasdaq a révélé une position de 18 712 BTC d'une valeur de 1,45 milliard de dollars, plaçant ainsi la société aérospatiale parmi les plus importants détenteurs de bitcoins parmi les entreprises connues.
La première carte crypto physique de Revolut est désormais disponible au Royaume-Uni et dans l'EEE.
Revolut a lancé sa première carte de débit crypto physique — une carte à l'effigie du Dogecoin, équipée de LED et acceptée partout où Visa et Mastercard sont prises en charge — marquant ainsi une étape importante dans la volonté de la fintech d'intégrer les dépenses en actifs numériques dans les finances quotidiennes des consommateurs.

Hub Interactif
0 RĂ©ponsesÂżTienes una sugerencia, pregunta o simplemente quieres dejar un comentario en este artĂculo? No dudes en escribir en la secciĂłn de discusiĂłn a continuaciĂłn.
Veuillez vous connecter pour rejoindre la discussion
Se connecter maintenantPas encore de commentaires. Soyez le premier !