3
DeFi kann den Abwärtstrend nicht stoppen, und das Wasabi Protocol ist das Neueste, das den Grund dafür herausfindet.
Wasabi Protocol, eine auf Ethereum und Base basierende Perpetuals-Handelsplattform, wurde am Donnerstag um etwa 4,55 Millionen US-Dollar erleichtert, nachdem Angreifer den Deployer-Schlüssel des Protokolls kompromittiert hatten, berichtet die Sicherheitsfirma Blockaid erklärte in einem Beitrag auf X.
Der Hack ist der jüngste Vorfall in einem Monat, der insgesamt Verluste von über 605 Millionen US-Dollar im DeFi-Bereich durch mindestens 12 Vorfälle verzeichnet hat.
Der Mechaniker war ein extern verwaltetes Konto, oder EOA, namens wasabideployer.eth, das die alleinige ADMIN_ROLE im Berechtigungssystem von Wasabi innehatte.
Ein EOA ist eine Wallet, die durch einen privaten Schlüssel kontrolliert wird, im Gegensatz zu einem Smart Contract. Wer den Schlüssel besitzt, kontrolliert die Wallet. Sobald der Angreifer Zugang zum Deployerschlüssel hatte, rief er grantRole im Berechtigungskontrakt auf, um sich selbst mit sofortiger Wirkung Admin-Privilegien zu gewähren.
Ihr Hilfsvertrag hat dann Wasabis Perpetual-Vaults und LongPool auf bösartige Implementierungen aktualisiert, die die Guthaben abgezogen haben, erklärte Blockaid.
Der Exploit basierte auf der UUPS-Upgradefähigkeit, einem Muster, bei dem ein Smart Contract seinen zugrunde liegenden Code austauschen kann, während er dieselbe Adresse beibehält.
UUPS wird häufig verwendet, da es Entwicklern ermöglicht, Fehler zu beheben, ohne Nutzer migrieren zu müssen. Es bedeutet jedoch auch, dass, wenn ein Angreifer Administratorrechte erhält, er die Logik des Vertrags durch beliebigen Code ersetzen kann, einschließlich solcher, die darauf ausgelegt sind, Gelder zu stehlen.
Wasabi verfügte weder über einen Timelock noch über eine Multisig, die die Administratorrolle schützt, erklärte Blockaid. Ein Timelock erzwingt eine Verzögerung zwischen der Ankündigung einer Administratoraktion und deren Ausführung, wodurch den Nutzern Zeit zur Reaktion gegeben wird. Eine Multisig erfordert mehrere Unterzeichner zur Genehmigung einer Änderung. Wasabi verfügte über keines von beiden, wodurch ein einzelner Schlüssel die volle Kontrolle über das Protokoll innehatte.
🚨 Blockaid's exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool to…
— Blockaid (@blockaid_) April 30, 2026
Kompromittierte Verträge umfassen Wasabis wWETH, sUSDC, wBITCOIN, wPEPE und Long Pool Tresore auf Ethereum sowie dessen sUSDC, wWETH, sBTC, sVIRTUAL, sAERO und sBRETT Tresore auf Base, so Blockaid.
Nutzer, die Wasabi LP-Token halten, wurden dringend aufgefordert, alle aktiven Genehmigungen für die Vault-Verträge zu widerrufen, da die zugrunde liegenden Vermögenswerte, die diese Token absichern, entweder vollständig entleert wurden oder weiterhin einem Risiko ausgesetzt sind.
Der Wasabi-Angriff ähnelt stark dem Exploit des Drift-Protokolls am 1. April, bei dem Angreifer mit Verbindungen zu Nordkorea einen kompromittierten Admin-Schlüssel nutzten, um 285 Millionen US-Dollar von der auf Solana basierenden Perpetuals-Börse abzuziehen.
In diesem Fall nutzten die Angreifer zudem eine Admin-Konfiguration mit einem einzigen Schlüssel ohne Governance-Timelock aus, listen ein gefälschtes Token als Sicherheit und erhöhten die Auszahlungslimits reale Vermögenswerte in etwa 12 Minuten abfließen zu lassen.
Drei Wochen später, am 19. April, Kelp DAO verlor 292 Millionen US-Dollar als ein Angreifer eine Single-Verifier-Konfiguration in der LayerZero-Bridge des Protokolls ausnutzte und 116.500 unbesicherte rsETH freisetzte, die anschließend als Sicherheit verwendet wurden, um echten Ether von Aave zu leihen.
Der kumulierte Gesamtverlust im DeFi-Bereich für das Jahr 2026 hat nun 770 Millionen US-Dollar über mehr als 30 gemeldete Vorfälle hinweg überschritten. Allein der April macht den Großteil dieser Summe aus.
Kleinere Sicherheitsverletzungen in diesem Monat haben CoW Swap (1,2 Millionen US-Dollar), Grinex (13,74 Millionen US-Dollar), Resolv Labs (23 Millionen US-Dollar), Volo Protocol (3,5 Millionen US-Dollar) und weitere betroffen.
Was sie verbindet, ist keine neue Sicherheitslücke. Jeder Vorfall führt zu den gleichen Nachbesprechungen mit den Worten über die gewonnenen Erkenntnisse, doch der nächste Exploit tritt meist ein, bevor diese Erkenntnisse umgesetzt werden.
Wasabi hat bisher keine öffentliche Stellungnahme zu dem Vorfall abgegeben.
