- Das Wasabi-Protokoll wurde in einem Exploit über Ethereum, Base, Berachain und Blast für über 5 Millionen US-Dollar ausgenutzt.
- Ein kompromittierter Admin-Schlüssel aus der Wasabi-Deployer-Wallet wurde verwendet, um Verträge aufzurüsten und Mittel zu entziehen.
- Der Exploit weist auf anhaltende Admin-Risikos hinein und könnte nach dem Verlust von über 600 Millionen Dollar im April 2026 neue Bedenken aufwerfen.
Am 30. April 2026 erlitt das Wasabi-Protokoll einen schweren Exploit, der mehr als 5 Millionen US-Dollar in Ethereum (ETH), Base, Berachain und Blast entzog. Die Sicherheitsfirmen Blockaid, CertiK und PeckShield bestätigten, dass Angreifer einen kompromittierten Admin-Schlüssel aus der Deployer-Wallet nutzten, um Verträge aufzurüsten und Gelder aus Liquiditätspools und Tresoren zu stehlen. Das Team warnte die Nutzer, alle Verträge nicht mehr zu nutzen.
Wasabi-Protokoll von über 5 Millionen Dollar schwerem Multi-Chain-Exploit betroffen
Quellen zufolge berichten PeckShield, Blockaid und CertiK, dass Angreifer das Wasabi-Protokoll, eine DeFi-Derivate-Plattform, ausgenutzt haben und mehr als 5 Millionen Dollar auf ETH, Base, Berachain und Blast abgezogen haben. Der Angriff richtete sich gegen Liquiditätspools und Tresore in diesen Netzwerken. Wichtige On-Chain-Details umfassen:
- Adresse des Angreifers: 0x02228b0afcdbEdf8180D96Fc181Da3AF5DD1d1ab
- Privilegierter Zugriff/Vertrags-Upgrade-Transaktion: 0x985b4cde1075c67841d0f9fd897da34c9da53d77f6e23b5a19653ebff4a6fac1
Bemerkenswert ist, dass die Angreifer mehrere Vermögenswerte entzogen, darunter WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO und VIRTUAL. Sie konsolidierten die gestohlenen Gelder in ETH, verbanden sie mit dem Ethereum-Netzwerk und verteilten sie auf mehrere Adressen.
Wie der kompromittierte Admin-Schlüssel den Exploit ermöglichte
Die eigentliche Ursache war ein kompromittierter Admin-Schlüssel, der mit der Wasabi-Deployer-Wallet (ein extern geführtes Konto (EOA) namens wasabideployer.eth) verknüpft war, das von Angreifern ausgenutzt wurde. Diese EOA besaß die alleinige ADMIN_ROLE im Zugangskontrollrahmen des Protokolls.
Mit dem kompromittierten Schlüssel gewährten die Angreifer die ADMIN_ROLE eines von Angreifern kontrollierten Helfervertrags. Blockaid und CertiK erklärten , dass „ein kompromittierter Admin-Schlüssel es dem Angreifer ermöglichte, privilegierten Zugriff über die Wasabi-Deployer-Wallet zu erhalten, Kernsysteme aufzurüsten und Mittel zu entziehen.“
Angreifer führten UUPS-Upgrades an den Kernverträgen des Wasabi-Protokolls durch, darunter LongPool, ShortPool, Perp-Vaults und Vault-Verträge, und erhielten damit erhöhte Berechtigungen, die es ihnen ermöglichten, Liquidität und zugrundeliegende Vermögenswerte über mehrere Ketten hinweg zu entziehen, wobei BlockSec berichtete, dass von Tornado Cash finanzierte Wallets Admin-Rollen erhielten und aktiv an Transaktionen in den Key Pools und Tresorsystemen des Protokolls teilnahmen.
Umfassendere Auswirkungen auf die DeFi-Sicherheit und was kommt als Nächstes?
Dieser Vorfall krönt einen der schlimmsten Monate aller Zeiten für DeFi-Exploits. Im April 2026 gingen über 600 Millionen Dollar bei mehr als 25 Vorfällen verloren. Der Angriff des Wasabi-Protokolls beschädigt das Vertrauen weiter und könnte neue Bedenken hinsichtlich der Sicherheit von Admin-Schlüsseln im gesamten Ökosystem aufwerfen.
Quelle: DeFiLlama
Der Exploit folgt auf massive Sicherheitsverletzungen wie Kelp DAO (293 Millionen US-Dollar) und Drift Protocol (285 Millionen US-Dollar). Diese wiederholten Angriffe unterstreichen die anhaltenden Risiken im Zusammenhang mit der Sicherheit von Admin-Schlüsseln, privilegiertem Zugriff und Cross-Chain-Infrastruktur.
Unterdessen untersucht das Wasabi-Protokoll weiterhin den Vorfall und fordert die Nutzer auf, alle Verträge bis auf Weiteres zu vermeiden. Das Virtuals Protocol hat vorsorglich verwandte Margenablagerungen eingefroren. Branchenexperten fordern nun stärkere Multisig-Wallets, Zeitsperrmechanismen und verbesserte Betriebssicherheit, um zukünftige Einzelpunkt-Ausfälle zu verhindern.
Verwandt: Rhea Finance von 7,6 Millionen Dollar Exploit nach Fake-Token-Pool-Angriff getroffen
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
