La plataforma de perpetuos Wasabi Protocol perdió aproximadamente 4,5 millones de dólares el jueves después de que atacantes comprometieran una clave de administrador que controlaba sus contratos de bóveda en Ethereum (ETH) y Base.
Detalles del exploit de Wasabi
La brecha fue detectada inicialmente por la firma de seguridad Blockaid, que rastreó la pérdida hasta una cartera del deployer que poseía el único ADMIN_ROLE en el sistema de permisos de Wasabi.
El atacante llamó a grantRole en ese contrato, otorgó derechos de administrador a un contrato auxiliar y aplicó una actualización UUPS en las bóvedas de perp y en LongPool. Implementaciones maliciosas drenaron luego los saldos en ambas cadenas.
Los pools afectados incluyeron wWETH, sUSDC, wBITCOIN, wPEPE y las bóvedas de Long Pool en Ethereum, junto con sUSDC, sBTC, sAERO y otros en Base, según informó CertiK reported. Wasabi no contaba con timelock ni multisig sobre el rol de administrador.
También lee: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
El riesgo de clave única se repite
Analistas señalan que el modus operandi resulta familiar. El ataque se asemeja estrechamente a la brecha del 1 de abril en Drift Protocol, donde una clave de administrador comprometida drenó 285 millones de dólares en Solana (SOL) en aproximadamente 12 minutos.
Semanas después, Kelp DAO perdió 292 millones de dólares a través de una vulnerabilidad de verificador único en su puente LayerZero.
Solo en abril ya se han registrado más de 605 millones de dólares en pérdidas DeFi en al menos 12 incidentes, lo que eleva el total de 2026 a más de 770 millones de dólares. Brechas más pequeñas en CoW Swap, Grinex, Resolv Labs y Volo Protocol también se han acumulado durante el mismo mes.
Lee a continuación: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965