Хакер вивів з протоколу Wasabi понад $5 млн

30 квітня проєкт Wasabi зазнав зламу. За даними фахівців PeckShield, збитки перевищили $5 млн.

#PeckShieldAlert @wasabi_protocol has been exploited for $5M+ across multiple chains, including Ethereum, Base, Berachain, & Blast. pic.twitter.com/zkWjEkZMMp

— PeckShieldAlert (@PeckShieldAlert) April 30, 2026

Експерти CertiK оцінили втрати у $5,5 млн. Атака торкнулася активів у кількох мережах: Ethereum, Base, Berachain і Blast.

UPDATE:

Total losses amount to ~$5.5M across the ETH, BASE, BLAST, and BERA chains:https://t.co/c37s3gNtwBhttps://t.co/Sj9gtovG5Khttps://t.co/E5W6LLDuenhttps://t.co/fUZrwM5NmK

— CertiK Alert (@CertiKAlert) April 30, 2026

Згідно з Blockaid, зловмисник отримав доступ до адміністративного ключа і через спеціальний гаманець Wasabi призначив керівною власну версію контракту. Далі за допомогою UUPS-апгрейду він підмінив внутрішню логіку сховищ платформи та вивів активи.

Засновник SlowMist під псевдонімом Cos звернув увагу на слабкі захисні механізми протоколу. За його словами, управління сховищами здійснювалося одним EOA без мультпідпису, таймлоку чи ДАО. Це дозволило хакеру без зайвих зусиль скомпрометувати приватний ключ і викликало запитання у спільноти.

Why did a single EOA seemingly have so much control without basic safeguards?

Seems your runway was burned on KOL grifters like Kook…. https://t.co/sRNtM8Ai8K pic.twitter.com/rXzCSZpCD0

— ZachXBT (@zachxbt) April 30, 2026

У BlockSec додали, що адміністративні ролі було надано гаманцям, профінансованим через криптоміксер Tornado Cash.

За даними Cyvers, кіберзлочинець викрав WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO, VIRTUAL і вже конвертував активи в ETH, розподіливши їх між кількома адресами.

🚨ALERT🚨Our system has detected multiple suspicious transactions involving @wasabi_protocol

An address funded via @TornadoCash deployed a malicious contract on both #Base and #Ethereum, extracting approximately $4.5M across multiple assets, including $WETH, $PEPE, $MOG, $USDC,… pic.twitter.com/UHTRNvqZ15

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) April 30, 2026

Команда Wasabi підтвердила злом і рекомендувала користувачам не взаємодіяти з контрактами протоколу до подальшого повідомлення.

«Ми надамо оновлену інформацію, щойно з’являться нові дані», — зазначили розробники.

Нагадаємо, L1-мережа ZetaChain опублікувала постмортем хакерської атаки, що сталася 27 квітня. Команда заявила, що причиною зламу стала вразливість у механізмі кросчейн-повідомлень.