Perpetuals‑platform Wasabi Protocol verloor donderdag ongeveer $4,5 miljoen nadat aanvallers een admin‑sleutel wisten te compromitteren die de Ethereum (ETH)‑ en Base‑kluiscontracten aanstuurt.
Details van de Wasabi‑exploit
De inbraak werd eerst gesignaleerd door beveiligingsbedrijf Blockaid, dat het verlies herleidde tot een deployer‑wallet met de enige ADMIN_ROLE in Wasabi’s permissiesysteem.
De aanvaller riep grantRole aan op dat contract, gaf beheerdersrechten aan een helper‑contract en voerde een UUPS‑upgrade uit op de perp‑kluisen en de LongPool. Kwaadwillige implementaties trokken vervolgens saldi leeg op beide ketens.
Getroffen pools waren onder meer wWETH, sUSDC, wBITCOIN, wPEPE en Long Pool‑kluizen op Ethereum, naast sUSDC, sBTC, sAERO en andere op Base, aldus CertiK meldde. Wasabi had geen timelock of multisig voor de admin‑rol.
Ook lezen: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Herhaling van het enkel‑sleutelrisico
Analisten zeggen dat het draaiboek bekend voorkomt. De aanval lijkt sterk op de inbraak van 1 april bij Drift Protocol, waar een gecompromitteerde admin‑sleutel $285 miljoen op Solana (SOL) leeg trok in ongeveer 12 minuten.
Enkele weken later verloor Kelp DAO $292 miljoen door een enkel‑verifier‑kwetsbaarheid in zijn LayerZero‑brug.
Alleen al april heeft nu geleid tot meer dan $605 miljoen aan DeFi‑verliezen in minstens 12 incidenten, waardoor het totaal voor 2026 boven de $770 miljoen uitkomt. Kleinere inbreuken bij CoW Swap, Grinex, Resolv Labs en Volo Protocol kwamen daar dezelfde maand nog bij.
Lees hierna: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965