Die Perpetuals-Plattform Wasabi Protocol verlor am Donnerstag rund 4,5 Millionen US‑Dollar, nachdem Angreifer einen Admin-Schlüssel kompromittiert hatten, der ihre Ethereum (ETH)‑ und Base‑Vault‑Verträge kontrollierte.
Details zum Wasabi-Exploit
Der Vorfall wurde zuerst von der Sicherheitsfirma Blockaid gemeldet, die den Verlust auf eine Deployer-Wallet zurückverfolgte, die die alleinige ADMIN_ROLE im Berechtigungssystem von Wasabi hielt.
Der Angreifer rief grantRole auf diesem Vertrag auf, übertrug Admin-Rechte auf einen Helper-Contract und spielte anschließend ein UUPS‑Upgrade auf die Perp‑Vaults und den LongPool ein. Bösartige Implementierungen leerten daraufhin die Bestände auf beiden Chains.
Betroffene Pools umfassten wWETH, sUSDC, wBITCOIN, wPEPE und Long‑Pool‑Vaults auf Ethereum sowie sUSDC, sBTC, sAERO und weitere auf Base, wie CertiK berichtete. Wasabi verwendete weder ein Timelock noch ein Multisig für die Admin-Rolle.
Auch lesen: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Wiederholtes Risiko durch Einzelschlüssel
Analysten sprechen von einem bekannten Muster. Der Angriff ähnelt stark dem Vorfall vom 1. April bei Drift Protocol, bei dem ein kompromittierter Admin-Schlüssel in rund 12 Minuten 285 Millionen US‑Dollar auf Solana (SOL) abzog.
Wochen später verlor Kelp DAO 292 Millionen US‑Dollar durch eine Single‑Verifier‑Schwachstelle in seiner LayerZero‑Bridge.
Allein der April führte nun zu DeFi‑Verlusten von mehr als 605 Millionen US‑Dollar in mindestens 12 Vorfällen und trieb die Bilanz für 2026 auf über 770 Millionen US‑Dollar. Kleinere Angriffe auf CoW Swap, Grinex, Resolv Labs und Volo Protocol kamen im selben Monat noch hinzu.
Als Nächstes lesen: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965