Компания Wasabi Protocol потеряла более 5 миллионов долларов из-за уязвимости в системе Admin-Key.
Что произошло
По сообщению компании по безопасности блокчейнов PeckShield, 30 апреля 2026 года протокол ончейн-бессрочных фьючерсов Wasabi подвергся хакерской атаке, в результате которой злоумышленники вывели более 5 миллионов долларов в сетях Ethereum, Base, Berachain и Blast.
Атакующий получил роль администратора (ADMIN_ROLE) через кошелек развертывателя (deployer) протокола — идентифицированный как wasabideployer.eth, единственный адрес, обладающий этой ролью в AccessManager модуля PerpManager Wasabi. Затем он обновил хранилища (vaults) до вредоносной реализации, которая выкачала балансы пользователей. По предварительным подсчетам было похищено около 4,55 миллиона долларов, расследование продолжается.
Wasabi признала инцидент в сети X, призвав пользователей воздержаться от использования протокола на время расследования, и подтвердила привлечение профессиональных команд по реагированию на ончейн-угрозы, включая SEAL 911 и Blockaid.
We're aware of an issue and are actively investigating.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026
As a precaution, please do not interact with Wasabi contracts until further notice.
We'll share an update as soon as we have more information. Thanks for your patience.
Как была осуществлена атака
Атака была проведена с использованием механизма, известного как эксплойт обновления UUPS. После компрометации учетной записи развертывателя атакующий инициировал обновление контракта, заменив безопасный код вредоносной логикой, перенаправляющей средства из хранилищ и пулов ликвидности на свои адреса. Поскольку в протоколе отсутствовал механизм временной задержки (timelock), изменения вступили в силу мгновенно, не оставив разработчикам и пользователям возможности вмешаться.
Ключевые технические детали взлома:
- Атакующий вызвал функцию
grantRoleна EOA развертывателя с нулевой задержкой, мгновенно превратив свой контракт-оркестратор в администратора. - Токены Wasabi и Spicy LP-share из пострадавших хранилищ помечены как скомпрометированные, их ликвидационная стоимость приближается к нулю.
- Blockaid отметила, что тот же адрес атакующего, контракт-оркестратор и байт-код стратегии связывают этот инцидент с более ранней активностью, направленной против Wasabi.
- Отсутствовали такие меры защиты, как авторизация через мультиподпись или временные задержки для предотвращения немедленного выполнения вредоносных действий.
Апрель 2026 года: Худший месяц в истории DeFi
Эксплойт Wasabi произошел не в вакууме. Этот взлом завершает катастрофический месяц для сектора DeFi, отмеченный двумя крупнейшими эксплойтами и более чем двадцатью мелкими инцидентами. Бывший глава отдела DeFi в Monad отметил в X, что за 30 дней апреля 2026 года в результате 28 инцидентов было потеряно около 635 миллионов долларов.
Двумя крупнейшими инцидентами месяца стали:
- Drift Protocol — 1 апреля биржа бессрочных контрактов на базе Solana лишилась около 270 миллионов долларов в более чем 15 различных типах токенов. Сообщается, что это была операция, связанная с государственными структурами Северной Кореи, подготовка которой заняла полгода.
- Kelp DAO — 18 апреля злоумышленник, предположительно поддерживаемый Северной Кореей, использовал уязвимость моста LayerZero, подделав кроссчейн-сообщение, что позволило выпустить 116 500 rsETH без какого-либо обеспечения на исходной стороне. Затем атакующий внес необеспеченные rsETH в Aave в качестве залога и заимствовал около 236 миллионов долларов в реальных WETH.
Реакция на инцидент с Kelp включала беспрецедентные коллективные усилия DeFi-протоколов и частных лиц под названием DeFi United, в ходе которых было собрано более 300 миллионов долларов для восстановления обеспечения rsETH Kelp.
Теория об ИИ-хакерах
Частота и точность последних эксплойтов возобновили дискуссию об инструментах, которые используют атакующие. Разработчик Витто Ривабелла публично выдвинул теорию о том, что Северная Корея обучила внутреннюю модель ИИ на украденных за годы данных DeFi. Он предположил, что теперь эта модель работает как автономный эксплуататор, опустошая протоколы быстрее, чем люди-аналитики успевают выпускать исправления. Хотя эта гипотеза не подтверждена, она отражает растущую обеспокоенность сообщества безопасности асимметричным преимуществом, которое атакующие могут иметь перед командами защиты протоколов.
Что пользователям следует сделать сейчас
Команды безопасности настоятельно рекомендуют пострадавшим лицам в качестве первого критически важного шага отозвать (revoke) все разрешения смарт-контрактов, связанные с протоколом. Инструменты вроде Revoke.cash могут помочь удалить доступ, ранее предоставленный скомпрометированным контрактам. Пользователям следует избегать взаимодействия с подозрительными ссылками или неофициальными программами восстановления и следить только за проверенными официальными объявлениями.
Независимо от того, ускоряет ли ИИ текущую волну эксплойтов, инцидент с Wasabi предельно четко указывает на структурную проблему: архитектуры управления с одним ключом без временных задержек или мультиподписей остаются одними из самых уязвимых мест в современном DeFi.
Опубликовано Coinplurk.com
Мы используем технологии ИИ для более быстрого и эффективного представления информации. Однако весь контент по-прежнему проходит процесс проверки людьми. Если вы обнаружите ошибки в данных или фактические неточности в этой статье, сообщите об этом нашей редакции с помощью кнопки [Сообщить о статье].
Published by Coinplurk.com
Об авторе
CoinPlurk News
Проверенный авторVerified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.
Другие статьи
6Visa, Mastercard и более 140 компаний запустили открытый стейблкоин в долларах США.
Коалиция, в которую входят Visa, Mastercard, Stripe, Coinbase, BlackRock и более 140 других компаний, запустила Open USD — стейблкоин, привязанный к доллару, предназначенный для распределения резервного дохода между предприятиями, которые его используют.
ФИФА выбрала «Колорадо» для проведения чемпионата мира 2026 года; акции AVAX подскочили на 8%.
Решение ФИФА построить инфраструктуру для продажи билетов, программ лояльности и цифровых коллекционных предметов на Чемпионате мира по футболу 2026 года на специализированном блокчейне Avalanche дало компании AVAX самый сильный бычий сигнал за месяц, но аналитики говорят, что устойчивый спрос еще предстоит доказать.
Mastercard запускает AP4M для проведения платежей ИИ на машинной скорости
Новый сервис Mastercard Agent Pay for Machines (AP4M) позволяет ИИ-агентам автономно авторизовать, оркестровать и проводить высокочастотные микроплатежи с использованием карт, банковских счетов и стейблкоинов — при этом более 30 отраслевых партнеров уже присоединились к проекту.
Polymarket нацеливается на Японию с целью одобрения к 2030 году
Polymarket назначил местного представителя и установил цель получить регулирование в Японии к 2030 году, даже несмотря на то, что строгие законы страны о азартных играх и глобальная волна ограничений на рынки прогнозов делают дальнейший путь неопределённым.
Подача заявления на IPO SpaceX раскрывает $1,45 млрд в биткойнах
Знаковое заявление SpaceX в SEC перед дебютом на Nasdaq раскрыло позицию в 18 712 BTC стоимостью 1,45 миллиарда долларов, что ставит аэрокосмическую компанию среди крупнейших известных корпоративных держателей биткойнов.
Первая физическая криптокарта Revolut выходит в Великобритании и странах ЕЭЗ
Revolut выпустил свою первую физическую криптовалютную дебетовую карту — карту с тематикой Dogecoin, оснащённую светодиодами, принимаемую везде, где поддерживаются Visa и Mastercard — что является значительным шагом в стремлении финтех-компании внедрить использование цифровых активов в повседневные финансы потребителей.

Интерактивный хаб
0 ОтветыЕсть предложение, вопрос или просто хотите оставить комментарий к этой статье? Не стесняйтесь писать в разделе обсуждения ниже.
Пожалуйста, войдите, чтобы участвовать в обсуждении
Войти сейчасКомментариев пока нет. Будьте первым!