Wasabi Protocol perd plus de 5 millions de dollars suite à une faille de sécurité liée à sa clé d'administration.

Ce qui s'est passé

Le protocole de contrats à terme perpétuels on-chain Wasabi a été piraté le 30 avril 2026, les attaquants ayant drainé plus de 5 millions de dollars à travers Ethereum, Base, Berachain et Blast, comme l'a rapporté la société de sécurité blockchain PeckShield.

L'attaquant a obtenu le rôle ADMIN_ROLE via le portefeuille de déploiement du protocole — identifié comme wasabideployer.eth, la seule adresse détenant ce rôle dans l'AccessManager du PerpManager de Wasabi — puis a mis à niveau les coffres-forts vers une implémentation malveillante qui a siphonné les soldes des utilisateurs. Environ 4,55 millions de dollars avaient été extraits lors du premier décompte, alors que les enquêtes sont toujours en cours.

Wasabi a reconnu l'incident sur X, exhortant les utilisateurs à éviter d'utiliser le protocole pendant que les investigations se poursuivent, et a confirmé avoir engagé des intervenants professionnels en sécurité on-chain, notamment SEAL 911 et Blockaid.

Comment l'attaque a été exécutée

L'attaque a été réalisée via un mécanisme connu sous le nom d'exploitation de mise à niveau UUPS. Après avoir compromis le compte du déployeur, l'attaquant a initié une mise à niveau de contrat qui a remplacé le code sécurisé par une logique malveillante, redirigeant les fonds des coffres-forts et des pools de liquidité vers ses propres adresses. Parce que le protocole manquait d'un mécanisme de verrouillage temporel (timelock), les changements ont été mis en œuvre instantanément — ne laissant aucune fenêtre d'intervention aux développeurs ou aux utilisateurs.

Détails techniques clés de la brèche :

• L'attaquant a appelé grantRole sur l'EOA du déployeur avec un délai nul, convertissant instantanément son contrat orchestrateur en administrateur.
• Les jetons de part LP Wasabi et Spicy des coffres-forts affectés sont signalés comme compromis, leur valeur de rachat approchant de zéro.
• Blockaid a noté que la même adresse d'attaquant, le même contrat orchestrateur et le même bytecode de stratégie lient cet incident à une activité antérieure ciblant Wasabi.
• Il n'y avait aucune sauvegarde telle qu'une autorisation multi-signature ou des délais temporels pour empêcher l'exécution immédiate d'actions malveillantes.

Avril 2026 : Le pire mois jamais enregistré pour la DeFi

L'exploitation de Wasabi ne s'est pas produite de manière isolée. Ce piratage clôture un mois brutal pour la DeFi, marqué par deux exploitations majeures et plus de vingt incidents mineurs. L'ancien responsable de la DeFi chez Monad a noté sur X qu'avril 2026 a entraîné la perte d'environ 635 millions de dollars répartis sur 28 incidents en 30 jours.

Les deux incidents les plus importants du mois ont été :

1. Drift Protocol — Le 1er avril, la plateforme d'échange de perpétuels basée sur Solana a subi environ 270 millions de dollars de sorties de capitaux couvrant plus de 15 types de jetons distincts, dans ce qui a été rapporté comme une opération liée à l'État nord-coréen en préparation depuis six mois.
2. Kelp DAO — Le 18 avril, un attaquant soupçonné d'être soutenu par l'État nord-coréen a exploité un pont LayerZero, forgeant un message cross-chain qui a permis de frapper 116 500 rsETH sans aucun blocage du côté source. L'attaquant a ensuite déposé les rsETH non garantis dans Aave comme collatéral et a emprunté environ 236 millions de dollars en véritable WETH.

La réponse à l'incident de Kelp a inclus un effort collectif sans précédent entre les protocoles DeFi et les particuliers, baptisé DeFi United, qui a levé plus de 300 millions de dollars pour restaurer la garantie du rsETH de Kelp.

La théorie du hacker-IA

La fréquence et la précision des récentes exploitations ont relancé le débat sur les outils utilisés par les attaquants. Le développeur Vitto Rivabella a publiquement avancé la théorie selon laquelle la Corée du Nord aurait entraîné un modèle d'IA interne sur des années de données DeFi volées, suggérant qu'il opère désormais comme un exploiteur autonome drainant les protocoles plus rapidement que les examinateurs humains ne peuvent les corriger. Bien que non vérifiée, l'hypothèse reflète une préoccupation croissante de la communauté de la sécurité concernant l'avantage asymétrique que les attaquants pourraient détenir sur les équipes de défense des protocoles.

Ce que les utilisateurs doivent faire maintenant

Les équipes de sécurité exhortent les personnes concernées à révoquer toutes les autorisations de contrats intelligents associées au protocole comme première étape critique. Des outils tels que Revoke.cash peuvent aider à supprimer l'accès précédemment accordé aux contrats compromis. Les utilisateurs doivent éviter d'interagir avec des liens suspects ou des programmes de récupération non officiels et surveiller uniquement les annonces officielles vérifiées.

Que l'IA accélère ou non la vague actuelle d'exploitations, l'incident Wasabi rend un problème structurel indéniablement clair : les architectures d'administration à clé unique sans verrouillage temporel ni contrôles multi-signatures restent parmi les vulnérabilités les plus exploitables de la DeFi aujourd'hui.

Publié par Coinplurk.com