Компания Wasabi Protocol потеряла более 5 миллионов долларов из-за уязвимости в системе Admin-Key.

Что произошло

По сообщению компании по безопасности блокчейнов PeckShield, 30 апреля 2026 года протокол ончейн-бессрочных фьючерсов Wasabi подвергся хакерской атаке, в результате которой злоумышленники вывели более 5 миллионов долларов в сетях Ethereum, Base, Berachain и Blast.

Атакующий получил роль администратора (ADMIN_ROLE) через кошелек развертывателя (deployer) протокола — идентифицированный как wasabideployer.eth, единственный адрес, обладающий этой ролью в AccessManager модуля PerpManager Wasabi. Затем он обновил хранилища (vaults) до вредоносной реализации, которая выкачала балансы пользователей. По предварительным подсчетам было похищено около 4,55 миллиона долларов, расследование продолжается.

Wasabi признала инцидент в сети X, призвав пользователей воздержаться от использования протокола на время расследования, и подтвердила привлечение профессиональных команд по реагированию на ончейн-угрозы, включая SEAL 911 и Blockaid.

Как была осуществлена атака

Атака была проведена с использованием механизма, известного как эксплойт обновления UUPS. После компрометации учетной записи развертывателя атакующий инициировал обновление контракта, заменив безопасный код вредоносной логикой, перенаправляющей средства из хранилищ и пулов ликвидности на свои адреса. Поскольку в протоколе отсутствовал механизм временной задержки (timelock), изменения вступили в силу мгновенно, не оставив разработчикам и пользователям возможности вмешаться.

Ключевые технические детали взлома:

• Атакующий вызвал функцию grantRole на EOA развертывателя с нулевой задержкой, мгновенно превратив свой контракт-оркестратор в администратора.
• Токены Wasabi и Spicy LP-share из пострадавших хранилищ помечены как скомпрометированные, их ликвидационная стоимость приближается к нулю.
• Blockaid отметила, что тот же адрес атакующего, контракт-оркестратор и байт-код стратегии связывают этот инцидент с более ранней активностью, направленной против Wasabi.
• Отсутствовали такие меры защиты, как авторизация через мультиподпись или временные задержки для предотвращения немедленного выполнения вредоносных действий.

Апрель 2026 года: Худший месяц в истории DeFi

Эксплойт Wasabi произошел не в вакууме. Этот взлом завершает катастрофический месяц для сектора DeFi, отмеченный двумя крупнейшими эксплойтами и более чем двадцатью мелкими инцидентами. Бывший глава отдела DeFi в Monad отметил в X, что за 30 дней апреля 2026 года в результате 28 инцидентов было потеряно около 635 миллионов долларов.

Двумя крупнейшими инцидентами месяца стали:

• Drift Protocol — 1 апреля биржа бессрочных контрактов на базе Solana лишилась около 270 миллионов долларов в более чем 15 различных типах токенов. Сообщается, что это была операция, связанная с государственными структурами Северной Кореи, подготовка которой заняла полгода.
• Kelp DAO — 18 апреля злоумышленник, предположительно поддерживаемый Северной Кореей, использовал уязвимость моста LayerZero, подделав кроссчейн-сообщение, что позволило выпустить 116 500 rsETH без какого-либо обеспечения на исходной стороне. Затем атакующий внес необеспеченные rsETH в Aave в качестве залога и заимствовал около 236 миллионов долларов в реальных WETH.

Реакция на инцидент с Kelp включала беспрецедентные коллективные усилия DeFi-протоколов и частных лиц под названием DeFi United, в ходе которых было собрано более 300 миллионов долларов для восстановления обеспечения rsETH Kelp.

Теория об ИИ-хакерах

Частота и точность последних эксплойтов возобновили дискуссию об инструментах, которые используют атакующие. Разработчик Витто Ривабелла публично выдвинул теорию о том, что Северная Корея обучила внутреннюю модель ИИ на украденных за годы данных DeFi. Он предположил, что теперь эта модель работает как автономный эксплуататор, опустошая протоколы быстрее, чем люди-аналитики успевают выпускать исправления. Хотя эта гипотеза не подтверждена, она отражает растущую обеспокоенность сообщества безопасности асимметричным преимуществом, которое атакующие могут иметь перед командами защиты протоколов.

Что пользователям следует сделать сейчас

Команды безопасности настоятельно рекомендуют пострадавшим лицам в качестве первого критически важного шага отозвать (revoke) все разрешения смарт-контрактов, связанные с протоколом. Инструменты вроде Revoke.cash могут помочь удалить доступ, ранее предоставленный скомпрометированным контрактам. Пользователям следует избегать взаимодействия с подозрительными ссылками или неофициальными программами восстановления и следить только за проверенными официальными объявлениями.

Независимо от того, ускоряет ли ИИ текущую волну эксплойтов, инцидент с Wasabi предельно четко указывает на структурную проблему: архитектуры управления с одним ключом без временных задержек или мультиподписей остаются одними из самых уязвимых мест в современном DeFi.

Опубликовано Coinplurk.com