Protokol Wasabi Menderita Kerugian Lebih dari $5 Juta dalam Eksploitasi Multi-Rantai

• Wasabi Protocol dieksploitasi lebih dari $5 juta dalam eksploitasi di seluruh Ethereum, Base, Berachain, dan Blast.
• Kunci admin yang disusupi dari dompet penyebar Wasabi digunakan untuk meningkatkan kontrak dan menguras dana.
• Eksploitasi ini menandakan risiko utama admin yang sedang berlangsung dan dapat menimbulkan kekhawatiran baru setelah April 2026 kehilangan lebih dari $600 juta.

Pada 30 April 2026, Wasabi Protocol mengalami eksploitasi besar yang menguras lebih dari $5 juta di Ethereum (ETH), Base, Berachain, dan Blast. Perusahaan keamanan Blockaid, CertiK, dan PeckShield mengonfirmasi bahwa penyerang menggunakan kunci admin yang disusupi dari dompet penyebar untuk meningkatkan kontrak dan mencuri dana dari kumpulan likuiditas dan brankas. Tim memperingatkan pengguna untuk berhenti berinteraksi dengan semua kontrak.

Protokol Wasabi Terkena Eksploitasi Multi-Rantai Lebih dari $5 Juta

Menurut sumber, PeckShield, Blockaid, dan CertiK melaporkan bahwa penyerang mengeksploitasi Wasabi Protocol, platform turunan DeFi, menguras lebih dari $5 juta di ETH, Base, Berachain, dan Blast. Serangan tersebut menargetkan kumpulan likuiditas dan brankas di seluruh jaringan ini. Detail on-chain utama meliputi:

• Alamat penyerang: 0x02228b0afcdbEdf8180D96Fc181Da3AF5DD1d1ab
• Akses istimewa/transaksi peningkatan kontrak: 0x985b4cde1075c67841d0f9fd897da34c9da53d77f6e23b5a19653ebff4a6fac1

Khususnya, para penyerang menguras banyak aset, termasuk WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO, dan VIRTUAL. Mereka mengkonsolidasikan dana yang dicuri ke dalam ETH, menjembataninya ke jaringan Ethereum, dan mendistribusikannya ke beberapa alamat.

Cara kunci admin yang disusupi mengaktifkan eksploitasi

Akar penyebabnya adalah kunci admin yang disusupi yang terkait dengan dompet deployer Wasabi (akun milik eksternal (EOA) yang dikenal sebagai wasabideployer.eth) yang dieksploitasi oleh penyerang. EOA ini memiliki satu-satunya ADMIN_ROLE dalam kerangka kerja kontrol akses protokol.

Dengan menggunakan kunci yang disusupi, penyerang memberikan ADMIN_ROLE ke kontrak pembantu yang dikendalikan penyerang. Blockaid dan CertiK menyatakan bahwa “kunci admin yang disusupi memungkinkan penyerang untuk mendapatkan akses istimewa melalui dompet penyebar Wasabi, meningkatkan sistem inti, dan menguras dana.”

Penyerang melakukan peningkatan UUPS pada kontrak inti Wasabi Protocol, termasuk kontrak LongPool, ShortPool, perp vault, dan Vault, mendapatkan izin yang ditingkatkan yang memungkinkan mereka menguras likuiditas dan aset dasar di beberapa rantai, dengan BlockSec melaporkan bahwa dompet yang didanai Tornado Cash menerima peran tingkat admin dan secara aktif berpartisipasi dalam transaksi di seluruh kumpulan kunci protokol dan sistem brankas.

Dampak yang Lebih Luas pada Keamanan DeFi dan Apa Selanjutnya?

Insiden ini mengakhiri salah satu bulan terburuk yang pernah tercatat untuk eksploitasi DeFi. April 2026 telah melihat lebih dari $600 juta hilang di lebih dari 25 insiden. Serangan Protokol Wasabi semakin merusak kepercayaan dan dapat menimbulkan kekhawatiran baru tentang keamanan kunci admin di seluruh ekosistem.

Sumber: DeFiLlama

Eksploitasi ini mengikuti pelanggaran besar-besaran seperti Kelp DAO ($293 juta) dan Drift Protocol ($285 juta). Serangan berulang ini menggarisbawahi risiko berkelanjutan seputar keamanan kunci admin, akses istimewa, dan infrastruktur lintas rantai.

Sementara itu, Wasabi Protocol terus menyelidiki insiden tersebut dan mendesak pengguna untuk menghindari semua kontrak sampai pemberitahuan lebih lanjut. Virtuals Protocol telah membekukan setoran margin terkait sebagai tindakan pencegahan. Pakar industri sekarang menuntut dompet multisig yang lebih kuat, mekanisme penguncian waktu, dan keamanan operasional yang ditingkatkan untuk mencegah kegagalan titik tunggal di masa mendatang.

Terkait: Rhea Finance Terkena Eksploitasi $7,6 Juta Setelah Serangan Kumpulan Token Palsu