Wasabi Protocol menetti 5 miljoonaa – admin-avain murrettu neljällä ketjulla
- Wasabi Protocolista varastettiin 4,5–5 miljoonaa dollaria neljällä eri lohkoketjulla.
- Hyökkääjä kaappasi deployer-lompakon ja päivitti älysopimusten logiikan varoja tyhjentävään versioon.
- CertiK ei ollut suorittanut protokollalle täyttä auditoinnointia ja sen turvallisuusluokitus oli heikko.
- Huhtikuussa DeFi-protokollista on varastettu yhteensä satoja miljoonia dollareita samankaltaisilla hyökkäyksillä.
Yksi ainoa lompakko hallitsi koko protokollan päivitysoikeuksia ilman viivettä, moniallekirjoitusta tai hallintaäänestystä – ja hyökkääjä tiesi sen.
Neljä lohkoketjua, yksi avain, viisi miljoonaa dollaria.
Hajautettu perpetuaalikaupankäyntialusta Wasabi Protocol tyhjennettiin keskiviikkona koordinoidussa hyökkäyksessä, jossa hyödynnettiin protokollan päivitysmekanismin yksinkertaisinta heikkoutta: yhtä ainoaa hallinta-avainta.
Varastettujen varojen kokonaismäärä on arviolta 4,5–5 miljoonaa dollaria. Hyökkäys kohdistui samanaikaisesti Ethereumiin, Baseen, Berachainiin ja Blastiin.
– Hyökkäyskaava on identtinen Drift Protocolin tapauksen kanssa. Ongelma ei ole koodi vaan operaatioturvallisuus, sanoo CertiK, lohkoketjuturvallisuuteen erikoistunut auditointiyritys, analyysissaan.
Tuttu kaava, uusi uhri
Miksi DeFi-protokollat antavat yhden lompakon hallita koko järjestelmää?
UUPS-päivitysmekanismi (Upgradeable Proxy)
Päivitettävät älysopimukset jakautuvat kahteen osaan: proxy-sopimukseen, joka säilyttää datan, ja logiikkasopimukseen, joka sisältää toiminnot. UUPS-mallissa admin-avain voi vaihtaa logiikkasopimuksen toiseen – ja samalla muuttaa koko järjestelmän toiminnan. Jos admin-avain vuotaa, hyökkääjä voi korvata logiikan millä tahansa koodilla.
Hyökkäyksen kulku oli metodinen.
Ensimmäisessä vaiheessa hyökkääjä sai haltuunsa Wasabi Protocolin deployer-lompakon yksityisen avaimen. Tämä lompakko – tavallinen EOA-osoite, ei moniallekirjoituslompakko – hallitsi protokollan ADMIN_ROLE-oikeuksia kaikilla neljällä ketjulla.
Deployer-lompakosta kutsuttiin grantRole()-funktiota, joka myönsi admin-oikeudet hyökkääjän omistamalle haitalliselle sopimukselle.
Seuraavaksi hyökkääjä käytti UUPS-proxy-päivitysmekanismia ja korvasi vault-sopimusten logiikan omalla versiollaan. Uusi logiikka sisälsi yksinkertaisen drain-funktion, joka siirsi kaikki varat hyökkääjän hallitsemiin osoitteisiin.
Osoitteeseen 0xb8Bb...70dB siirtyi noin 677 000 dollaria. Osoitteeseen 0x6244...f906 ohjautui noin 1,1 miljoonaa dollaria. Loput jakautuivat useille osoitteille.
Koko operaatio kesti minuutteja.
Varoitusmerkit olivat olemassa
CertiKin Skynet-luokitus Wasabi Protocolille oli 76,21 pistettä sadasta – BBB-taso. Lukujen takana piilee varsin synkkä kuva.
Code Security -osio sai vain 20 prosentin pistemäärän. Operational Resilience putosi kymmeneen prosenttiin.
Täyttä turvallisuusauditointia ei ollut suoritettu. Bug bounty -ohjelmaa ei ollut. Kuka tahansa näitä lukuja katsova olisi voinut ennakoida riskin.
Protokolla operoi ilman timelockia, ilman moniallekirjoitusta ja ilman hallintaviivettä. Yksikään näistä suojamekanismeista ei olisi ollut todella vaikea toteuttaa. Yksi kompromissi riitti.
Huhtikuun musta sarja
Wasabi ei ole poikkeus. Se on oire.
Huhtikuun ensimmäisenä päivänä Drift Protocol, Solana-pohjainen johdannaisalusta, menetti 285 miljoonaa dollaria täsmälleen samalla hyökkäyskaavalla: murrettu deployer-avain, UUPS-proxy-päivitys, varojen tyhjennys.
Kelp DAO, Ethereumin likvidi staking -protokolla, joutui koalition pelastamaan yli 300 miljoonan dollarin arvosta varoja. ZetaChain ja Scallop kärsivät omat hyökkäyksensä.
Wasabi on huhtikuun vähintään viides DeFi-turvallisuusmurto. Yhteenlasketut tappiot nousevat satoihin miljooniin dollareihin.
Yhteinen nimittäjä on aina sama: keskitetty hallinta-avain hajautetussa järjestelmässä. Protokollat mainostavat itseään hajautetuiksi, mutta yksi kompromissi riittää kaatamaan koko pakan.
Varoja ei ole palautettu
Wasabi Protocol on vahvistanut hyökkäyksen ja ilmoittanut tutkinnan olevan käynnissä.
Toistaiseksi varoja ei ole jäädytetty eikä palautettu. Hyökkääjän osoitteet ovat aktiivisia.
Onko realistista odottaa palautusta? Drift Protocolin tapauksessa – jossa menetettiin 285 miljoonaa – toipuminen on yhä kesken kuukausi hyökkäyksen jälkeen.
DeFi-protokollien turvallisuusarkkitehtuuri ei ole vain tekninen kysymys. Se on luottamuskysymys. Ja huhtikuu 2026 on osoittanut, miten nopeasti luottamus voi haihtua, kun perusasiat jätetään hoitamatta.
Timelock, moniallekirjoitus ja hallintaviive ovat olemassa olevia työkaluja. Ne eivät maksa paljon. Silti protokolla toisensa jälkeen jättää ne käyttämättä.
