Wasabi Protocol потерял свыше $5 млн в результате взлома

• Blockaid зафиксировала активный эксплойт в сетях Ethereum и Base.
• Злоумышленник получил ADMIN_ROLE и заменил смарт-контракты на вредоносные.
• Предварительный ущерб оценивается в более чем $5 млн.

Аналитики по безопасности Blockaid сообщили об атаке на проект Wasabi Protocol. В ходе нее злоумышленник использовал компрометацию административного ключа для захвата контроля над ключевыми контрактами.

По данным экспертов, инцидент затронул сети Ethereum и Base и сопровождался выводом средств пользователей.

🚨 Blockaid’s exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool to…

— Blockaid (@blockaid_) April 30, 2026

Атака началась с использования адреса деплоера протокола, через который атакующий выдал своему вспомогательному контракту роль администратора.

Далее злоумышленник воспользовался механизмом обновления смарт-контрактов (UUPS-апгрейд). Обычно он применяется для легитимных обновлений протокола.

Получив права администратора, он подменил «логику» работы ключевых контрактов — хранилищ средств пользователей (perp vaults) и пула ликвидности (LongPool) — на вредоносную версию. В результате система сама начала выполнять заложенные в ней команды и фактически позволила вывести средства пользователей.

Ущерб превысил $5 млн

Эксперты отмечают, что вектор атаки связан не с уязвимостью торговой логики, а с компрометацией прав доступа. Использование механизма обновляемых контрактов позволило злоумышленнику легитимно изменить код, не вызывая немедленных подозрений на уровне инфраструктуры.

🚨 #Arisk On-Chain Security Alert — April 30, 2026@wasabi_protocol protocol has suffered a confirmed Admin Key Compromise and Admin Privilege Abuse attack.

The attacker used the Wasabi Deployer EOA (0x02228b0afcdbEdf8180D96Fc181Da3AF5DD1d1ab) to grant ADMIN_ROLE to a malicious… https://t.co/2GP46gD8E6 pic.twitter.com/9k5D8Lvqho

— Arisk (@Arisk_io_en) April 30, 2026

По предварительным оценкам аналитиков, ущерб может составлять свыше $5 млн, однако окончательные данные пока не подтверждены. Команда проекта на момент публикации не представила заявлений о произошедшем.

Инцидент усилил опасения вокруг безопасности DeFi-протоколов с апгрейдами и централизованными ролями управления.

В апреле 2026 года произошла целая серия атак на проекты из сектора децентрализованных финансов. К примеру, протокол рестейкинга KelpDAO лишился $293 млн в результате хакерского рейда, а платформа Drift Protocol потеряла около $280 млн после взлома.

Напомним, мы писали, что DeFi-сектор потерял почти $800 млн в 2026 году из-за взломов.

Источник