Хакер вывел из протокола Wasabi более $5 млн

30 апреля проект Wasabi подвергся взлому. По данным специалистов PeckShield, ущерб превысил $5 млн.

#PeckShieldAlert @wasabi_protocol has been exploited for $5M+ across multiple chains, including Ethereum, Base, Berachain, & Blast. pic.twitter.com/zkWjEkZMMp

— PeckShieldAlert (@PeckShieldAlert) April 30, 2026

Эксперты CertiK оценили потери в $5,5 млн. Атака затронула средства в нескольких сетях: Ethereum, Base, Berachain и Blast.

UPDATE:

Total losses amount to ~$5.5M across the $ETH, BASE, BLAST, and BERA chains:https://t.co/c37s3gNtwBhttps://t.co/Sj9gtovG5Khttps://t.co/E5W6LLDuenhttps://t.co/fUZrwM5NmK

— CertiK Alert (@CertiKAlert) April 30, 2026

Согласно Blockaid, злоумышленник получил доступ к административному ключу и через специальный кошелек Wasabi, назначив свою версию контракта управляющей. Затем с помощью UUPS-апгрейда он подменил внутреннюю логику хранилищ платформы и вывел активы.

Основатель SlowMist под псевдонимом Cos обратил внимание на слабые защитные механизмы протокола. По его словам, управление хранилищами осуществлялось одним EOA без мультподписи, временной блокировки или ДАО. Это позволило хакеру без затруднений скомпрометировать приватный ключ и вызвало вопросы у сообщества.

Why did a single EOA seemingly have so much control without basic safeguards?

Seems your runway was burned on KOL grifters like Kook…. https://t.co/sRNtM8Ai8K pic.twitter.com/rXzCSZpCD0

— ZachXBT (@zachxbt) April 30, 2026

В BlockSec добавили, что административные роли получили кошельки, профинансированные через криптомикер Tornado Cash.

По данным Cyvers, киберпреступник похитил WETH, $PEPE, $MOG, $USDC, ZYN, REKT, cbBTC, AERO, VIRTUAL и уже конвертировал активы в $ETH, распределив их по нескольким адресам.

🚨ALERT🚨Our system has detected multiple suspicious transactions involving @wasabi_protocol

An address funded via @TornadoCash deployed a malicious contract on both #Base and #Ethereum, extracting approximately $4.5M across multiple assets, including $WETH, $PEPE, $MOG, $USDC,… pic.twitter.com/UHTRNvqZ15

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) April 30, 2026

Команда Wasabi подтвердила взлом и рекомендовала пользователям не взаимодействовать с контрактами протокола до дальнейшего уведомления.

«Мы предоставим обновленную информацию, как только появятся новые данные», — отметили разработчики.

Напомним, 28 апреля хакерской атаке подвергся инфраструктурный Ethereum-проект Syndicate. Специалисты по кибербезопасности оценили потери в $330 000.

Тогда же злоумышленники взломали биржу Aftermath Finance в экосистеме Sui и вывели около $900 000 в $USDC.

Днем ранее пострадала L1-сеть ZetaChain. Разработчики заявили, что инцидент затронул только внутренние кошельки команды. Ущерб составил $333 868.