Хакер вывел из протокола Wasabi более $5 млн
30 апреля проект Wasabi подвергся взлому. По данным специалистов PeckShield, ущерб превысил $5 млн.
#PeckShieldAlert @wasabi_protocol has been exploited for $5M+ across multiple chains, including Ethereum, Base, Berachain, & Blast. pic.twitter.com/zkWjEkZMMp
— PeckShieldAlert (@PeckShieldAlert) April 30, 2026
Эксперты CertiK оценили потери в $5,5 млн. Атака затронула средства в нескольких сетях: Ethereum, Base, Berachain и Blast.
UPDATE:
— CertiK Alert (@CertiKAlert) April 30, 2026
Total losses amount to ~$5.5M across the ETH, BASE, BLAST, and BERA chains:https://t.co/c37s3gNtwBhttps://t.co/Sj9gtovG5Khttps://t.co/E5W6LLDuenhttps://t.co/fUZrwM5NmK
Согласно Blockaid, злоумышленник получил доступ к административному ключу и через специальный кошелек Wasabi, назначив свою версию контракта управляющей. Затем с помощью UUPS-апгрейда он подменил внутреннюю логику хранилищ платформы и вывел активы.
Основатель SlowMist под псевдонимом Cos обратил внимание на слабые защитные механизмы протокола. По его словам, управление хранилищами осуществлялось одним EOA без мультподписи, временной блокировки или ДАО. Это позволило хакеру без затруднений скомпрометировать приватный ключ и вызвало вопросы у сообщества.
Why did a single EOA seemingly have so much control without basic safeguards?
— ZachXBT (@zachxbt) April 30, 2026
Seems your runway was burned on KOL grifters like Kook…. https://t.co/sRNtM8Ai8K pic.twitter.com/rXzCSZpCD0
В BlockSec добавили, что административные роли получили кошельки, профинансированные через криптомикер Tornado Cash.
По данным Cyvers, киберпреступник похитил WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO, VIRTUAL и уже конвертировал активы в ETH, распределив их по нескольким адресам.
🚨ALERT🚨Our system has detected multiple suspicious transactions involving @wasabi_protocol
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) April 30, 2026
An address funded via @TornadoCash deployed a malicious contract on both #Base and #Ethereum, extracting approximately $4.5M across multiple assets, including $WETH, $PEPE, $MOG, $USDC,… pic.twitter.com/UHTRNvqZ15
Команда Wasabi подтвердила взлом и рекомендовала пользователям не взаимодействовать с контрактами протокола до дальнейшего уведомления.
«Мы предоставим обновленную информацию, как только появятся новые данные», — отметили разработчики.
Напомним, 28 апреля хакерской атаке подвергся инфраструктурный Ethereum-проект Syndicate. Специалисты по кибербезопасности оценили потери в $330 000.
Тогда же злоумышленники взломали биржу Aftermath Finance в экосистеме Sui и вывели около $900 000 в USDC.
Днем ранее пострадала L1-сеть ZetaChain. Разработчики заявили, что инцидент затронул только внутренние кошельки команды. Ущерб составил $333 868.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!