Protocolo Wasabi Perde Mais de $5M em Exploração de Chave de Administração

O Que Aconteceu

O protocolo de futuros perpétuos on-chain Wasabi foi hackeado em 30 de abril de 2026, com invasores drenando mais de US$ 5 milhões entre Ethereum, Base, Berachain e Blast, conforme relatado pela empresa de segurança blockchain PeckShield.

O invasor obteve o ADMIN_ROLE por meio da carteira de implantador (deployer) do protocolo — identificada como wasabideployer.eth, o único endereço que detinha essa função no AccessManager do PerpManager da Wasabi — e, em seguida, atualizou os cofres (vaults) para uma implementação maliciosa que desviou os saldos dos usuários. Aproximadamente US$ 4,55 milhões foram extraídos na contagem inicial, com as investigações ainda em curso.

A Wasabi reconheceu o incidente no X, instando os usuários a evitarem o uso do protocolo enquanto as investigações prosseguem, e confirmou que contratou equipes profissionais de resposta de segurança on-chain, incluindo SEAL 911 e Blockaid.

Como o Ataque Foi Executado

O ataque foi realizado por meio de um mecanismo conhecido como exploit de atualização UUPS. Após comprometer a conta do implantador, o invasor iniciou uma atualização de contrato que substituiu o código seguro por uma lógica maliciosa, redirecionando fundos de cofres e pools de liquidez para seus próprios endereços. Como o protocolo carecia de um mecanismo de trava temporal (timelock), as alterações foram implementadas instantaneamente — não deixando margem para a intervenção de desenvolvedores ou usuários.

Principais detalhes técnicos da violação:

• O invasor chamou grantRole na EOA do implantador com atraso zero, convertendo instantaneamente seu contrato orquestrador em um administrador.
• Os tokens de participação Wasabi e Spicy LP dos cofres afetados foram sinalizados como comprometidos, com o valor de resgate aproximando-se de zero.
• A Blockaid observou que o mesmo endereço do invasor, o contrato orquestrador e o bytecode da estratégia vinculam este incidente a atividades anteriores que visavam a Wasabi.
• Não havia salvaguardas como autorização multiassinatura (multi-sig) ou atrasos temporais para impedir a execução imediata de ações maliciosas.

Abril de 2026: O Pior Mês da História para o DeFi

O exploit da Wasabi não ocorreu de forma isolada. O ataque encerra um mês brutal para o setor de DeFi, marcado por dois grandes exploits e mais de vinte incidentes menores. O ex-chefe de DeFi da Monad observou no X que abril de 2026 resultou em aproximadamente US$ 635 milhões perdidos em 28 incidentes em 30 dias.

Os dois maiores incidentes do mês foram:

• Drift Protocol — Em 1º de abril, a exchange de perpétuos baseada em Solana sofreu cerca de US$ 270 milhões em saídas abrangendo mais de 15 tipos distintos de tokens, no que foi relatado como uma operação ligada ao estado norte-coreano em preparação há seis meses.
• Kelp DAO — Em 18 de abril, um invasor suspeito de ser apoiado pelo estado norte-coreano explorou uma ponte LayerZero, forjando uma mensagem cross-chain que permitiu a cunhagem de 116.500 rsETH sem qualquer ativo bloqueado no lado de origem. O invasor então depositou o rsETH sem lastro na Aave como garantia e tomou emprestado aproximadamente US$ 236 milhões em WETH real.

A resposta ao incidente da Kelp incluiu um esforço coletivo sem precedentes entre protocolos DeFi e indivíduos, apelidado de DeFi United, que arrecadou mais de US$ 300 milhões para restaurar o lastro do rsETH da Kelp.

A Teoria do Hacker-IA

A frequência e a precisão dos exploits recentes renovaram o debate sobre as ferramentas que os invasores estão utilizando. O desenvolvedor Vitto Rivabella levantou publicamente a teoria de que a Coreia do Norte treinou um modelo de IA interno com anos de dados roubados de DeFi, sugerindo que ele agora opera como um explorador autônomo, drenando protocolos mais rápido do que revisores humanos conseguem corrigir. Embora não verificada, a hipótese reflete uma preocupação crescente na comunidade de segurança sobre a vantagem assimétrica que os invasores podem deter sobre as equipes de defesa de protocolos.

O Que os Usuários Devem Fazer Agora

As equipes de segurança estão pedindo aos indivíduos afetados que revoguem todas as permissões de contratos inteligentes associadas ao protocolo como um primeiro passo crítico. Ferramentas como o Revoke.cash podem ajudar a remover o acesso concedido anteriormente a contratos comprometidos. Os usuários devem evitar interagir com links suspeitos ou programas de recuperação não oficiais e monitorar apenas os anúncios oficiais verificados.

Independentemente de a IA estar acelerando a atual onda de exploits, o incidente da Wasabi torna um problema estrutural inequivocamente claro: arquiteturas de administração de chave única, sem travas temporais ou controles de multiassinatura, permanecem entre as vulnerabilidades mais exploráveis no DeFi hoje.

Publicado por Coinplurk.com