coindesk.com
DeFi no puede detener la sangría, y Wasabi Protocol es el último en descubrir por qué.
Wasabi Protocol, una plataforma de trading de perpetuos construida sobre Ethereum y Base, fue despojada de aproximadamente $4.55 millones el jueves después de que los atacantes comprometieran la clave de despliegue del protocolo, informó la firma de seguridad Blockaid declaró en una publicación de X.
El hackeo es el más reciente en un mes que ha producido pérdidas superiores a 605 millones de dólares en DeFi en al menos 12 incidentes.
El mecanismo era una cuenta externa, o EOA, llamada wasabideployer.eth que poseía el único ADMIN_ROLE en el sistema de permisos de Wasabi.
Una EOA es una billetera controlada por una clave privada, a diferencia de un contrato inteligente. Quien posea la clave controla la billetera. Una vez que el atacante tuvo acceso a la clave del desplegador, llamó a grantRole en el contrato de permisos para otorgarse privilegios de administrador sin ningún retraso.
Su contrato auxiliar luego actualizó las bóvedas perp de Wasabi y LongPool a implementaciones maliciosas que agotaron los saldos, señaló Blockaid.
La explotación se basó en la actualizabilidad UUPS, un patrón donde un contrato inteligente puede intercambiar su código subyacente manteniendo la misma dirección.
UUPS es ampliamente utilizado porque permite a los desarrolladores corregir errores sin migrar a los usuarios. También implica que si un atacante controla los permisos de administrador, puede reemplazar la lógica del contrato con cualquier código que desee, incluido aquel diseñado para robar fondos.
Wasabi no contaba con un contrato de bloqueo temporal ni con una firma múltiple para proteger el rol de administrador, según indicó Blockaid. Un contrato de bloqueo temporal impone un retraso entre el momento en que se anuncia una acción administrativa y cuando esta se ejecuta, ofreciendo a los usuarios tiempo para reaccionar. Una firma múltiple requiere la aprobación de varios firmantes para realizar un cambio. Wasabi carecía de ambos, dejando una única clave con control total sobre el protocolo.
🚨 Blockaid's exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool to…
— Blockaid (@blockaid_) April 30, 2026
Los contratos comprometidos incluyen las bóvedas wWETH, sUSDC, wBITCOIN, wPEPE y Long Pool de Wasabi en Ethereum, además de sus bóvedas sUSDC, wWETH, sBTC, sVIRTUAL, sAERO y sBRETT en Base, según Blockaid.
Se instó a los usuarios que poseían tokens LP de Wasabi a revocar cualquier aprobación activa a los contratos de la bóveda, dado que los activos subyacentes que respaldaban dichos tokens habían sido drenados o seguían en riesgo.
El ataque a Wasabi refleja en gran medida la explotación del Protocolo Drift el 1 de abril, cuando atacantes vinculados a Corea del Norte utilizaron una clave administrativa comprometida para drenar 285 millones de dólares del exchange de perpetuos basado en Solana.
En ese caso, los atacantes también explotaron una configuración de administrador con clave única sin un bloqueo temporal de gobernanza, listando un token falso como garantía y aumentando los límites de retiro para drenar activos reales en aproximadamente 12 minutos.
Tres semanas después, el 19 de abril, Kelp DAO perdió 292 millones de dólares cuando un atacante explotó una configuración de verificador único en el puente LayerZero del protocolo, liberando 116,500 rsETH no respaldados que luego se utilizaron como garantía para pedir prestado ether real de Aave.
La pérdida acumulada total de DeFi para 2026 ha superado los 770 millones de dólares en más de 30 incidentes reportados. Solo abril representa la mayor parte de esa cifra.
Incumplimientos menores este mes han afectado a CoW Swap (1,2 millones de dólares), Grinex (13,74 millones de dólares), Resolv Labs (23 millones de dólares), Volo Protocol (3,5 millones de dólares), entre otros.
Lo que los une no es una vulnerabilidad nueva. Cada incidente produce el mismo lenguaje post mortem sobre las lecciones aprendidas, pero la siguiente explotación suele llegar antes de que las lecciones se implementen.
Wasabi aún no ha emitido una declaración pública sobre el incidente.