4
- Blockaid зафиксировала активный эксплойт в сетях Ethereum и Base.
- Злоумышленник получил ADMIN_ROLE и заменил смарт-контракты на вредоносные.
- Предварительный ущерб оценивается в более чем $5 млн.
Аналитики по безопасности Blockaid сообщили об атаке на проект Wasabi Protocol. В ходе нее злоумышленник использовал компрометацию административного ключа для захвата контроля над ключевыми контрактами.
По данным экспертов, инцидент затронул сети Ethereum и Base и сопровождался выводом средств пользователей.
🚨 Blockaid's exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool to…
— Blockaid (@blockaid_) April 30, 2026
Атака началась с использования адреса деплоера протокола, через который атакующий выдал своему вспомогательному контракту роль администратора.
Далее злоумышленник воспользовался механизмом обновления смарт-контрактов (UUPS-апгрейд). Обычно он применяется для легитимных обновлений протокола.
Получив права администратора, он подменил «логику» работы ключевых контрактов — хранилищ средств пользователей (perp vaults) и пула ликвидности (LongPool) — на вредоносную версию. В результате система сама начала выполнять заложенные в ней команды и фактически позволила вывести средства пользователей.
Ущерб превысил $5 млн
Эксперты отмечают, что вектор атаки связан не с уязвимостью торговой логики, а с компрометацией прав доступа. Использование механизма обновляемых контрактов позволило злоумышленнику легитимно изменить код, не вызывая немедленных подозрений на уровне инфраструктуры.
🚨 #Arisk On-Chain Security Alert — April 30, 2026@wasabi_protocol protocol has suffered a confirmed Admin Key Compromise and Admin Privilege Abuse attack.
— Arisk (@Arisk_io_en) April 30, 2026
The attacker used the Wasabi Deployer EOA (0x02228b0afcdbEdf8180D96Fc181Da3AF5DD1d1ab) to grant ADMIN_ROLE to a malicious… https://t.co/2GP46gD8E6 pic.twitter.com/9k5D8Lvqho
По предварительным оценкам аналитиков, ущерб может составлять свыше $5 млн, однако окончательные данные пока не подтверждены. Команда проекта на момент публикации не представила заявлений о произошедшем.
Инцидент усилил опасения вокруг безопасности DeFi-протоколов с апгрейдами и централизованными ролями управления.
В апреле 2026 года произошла целая серия атак на проекты из сектора децентрализованных финансов. К примеру, протокол рестейкинга KelpDAO лишился $293 млн в результате хакерского рейда, а платформа Drift Protocol потеряла около $280 млн после взлома.
Напомним, мы писали, что DeFi-сектор потерял почти $800 млн в 2026 году из-за взломов.
forklog.com
