Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 273Kompromittierung privater Schlüssel

Wasabi Protocol Deployer-EOA-Kompromittierung

Wasabi Protocols Perp-Vaults auf 4 Chains verloren 5 Mio. $: Kompromittiertes Deployer-EOA mit alleiniger ADMIN_ROLE erlaubte UUPS-Upgrades.

Datum
Opfer
Wasabi Protocol
Chain(s)
EthereumBase
Status
Mittel entwendet

Am 30. April 2026 wurde das dezentrale Perpetual-Futures-Protokoll Wasabi Protocol um rund 5 Millionen Dollar geleert, nachdem Angreifer das Deployer-EOA kompromittierten, das die alleinige ADMIN_ROLE des Protokolls hielt — ohne Timelock und ohne Multisig-Schutz. Die Kompromittierung betraf Bereitstellungen auf Ethereum, Base, Berachain und Blast. Der Vorfall landete mitten im April 2026, der zum schlimmsten Monat aller Zeiten für DeFi-Exploits wurde, mit rund 635 Millionen Dollar Verlust über 28 Vorfälle.

Was geschah

Wasabi Protocols Smart-Contract-Architektur nutzte UUPS (Universal Upgradeable Proxy Standard)-Proxies für seine Perpetual-Futures-Vaults — was dem Protokoll-Team erlaubte, Implementierungen im Laufe der Zeit zu aktualisieren. Berechtigungen über die Proxies waren hinter einer einzigen Rolle gegatet: ADMIN_ROLE.

Die fatale architektonische Wahl: Die ADMIN_ROLE wurde von einem einzigen Externally-Owned Account (EOA) gehalten — derselben Wallet, die ursprünglich die Verträge deployt hatte. Es gab keinen Timelock zwischen Initiierung und Ausführung einer Admin-Aktion und keinen Multisig, der mehrere Signaturen erforderte. Kompromittierung des einzelnen Deployer-EOA war Kompromittierung jeder Bereitstellung auf jeder Chain.

Der Angriff:

  1. Kompromittierte das Deployer-EOA — der spezifische Vektor wurde nicht öffentlich offengelegt, aber das Muster ist konsistent mit Endpoint-Level-Kompromittierung (Malware, Phishing, Anmeldedaten-Diebstahl).
  2. Nutzte den kompromittierten Key, um ADMIN_ROLE einem bösartigen Helper-Vertrag unter Kontrolle der Angreifer zu erteilen.
  3. Mit etablierter Admin-Autorität führte UUPS-Proxy-Upgrades durch auf:
    • Wasabis Perpetual-Futures-Vault-Verträge
    • Den LongPool-Vertrag
    • Verschiedene unterstützende Verträge
  4. Ersetzte die legitimen Implementierungen durch bösartige, die das direkte Entziehen von Sicherheits- und Pool-Beständen erlaubten.
  5. Führte den Drain über alle vier betroffenen Chains in schneller Folge aus.

Insgesamt extrahiert: rund 4,55-5 Millionen $ in gemischten Vermögenswerten.

Nachwirkungen

  • Wasabi pausierte den Betrieb auf allen betroffenen Chains.
  • Das Team erkannte das Single-EOA-Admin-Muster als strukturelle Wurzelursache an.
  • Keine öffentliche Wiederherstellung aus den Wallets des Angreifers.
  • Der Vorfall trug zu Aprils 2026 635 Mio. $ DeFi-Gesamtverlust bei — dem schlimmsten monatlichen Aggregat aller Zeiten, das selbst die Monate übertraf, die große Einzelereignisse wie den Bybit-Heist enthielten.

Warum es zählt

Der Wasabi-Protocol-Vorfall ist der Lehrbuch-2026-Fall dafür, warum Single-EOA-Admin-Rollen für kein Protokoll von nennenswerter Größe mehr akzeptabel sind. Das strukturelle Muster — Deployer-Key mit voller Upgrade-Autorität, kein Timelock, kein Multisig — wurde ein Jahrzehnt früher in der Solidity-Sicherheitsliteratur weithin als riskant identifiziert; der Parity-Multisig-Vorfall 2017 sollte die Lehre universal gemacht haben.

In der Praxis besteht das Muster fort, weil:

  1. Multi-Sig-Bereitstellung operativ komplex ist — Signaturen über mehrere Parteien hinweg zu koordinieren, besonders für Routine-Wartungsoperationen, ist langsam und fehleranfällig.
  2. Timelocks legitime Operationen verzögern — Protokolle, die schnelle Änderungen ausliefern wollen, widerstehen der Reibung.
  3. Die Kosten der schützenden Architektur werden im Voraus bezahlt, in operativem Overhead — die Kosten, sie zu überspringen, werden nur bezahlt, wenn (nicht falls) die Wallet des Deployers kompromittiert wird.

Das Muster wiederholt sich auf jeder Skala bis 2025-2026:

  • Drift Protocol (April 2026, 285 Mio. $) — Durable-Nonce-Signing-Bypass.
  • KelpDAO (April 2026, 292 Mio. $) — Single-DVN LayerZero-Bridge.
  • Wasabi Protocol (April 2026, 5 Mio. $) — Single-EOA-Admin-Rolle.

Alle drei sind 2026er Vorfälle, in denen die Operational-Security-Konfiguration die gesamte Angriffsfläche war, nicht irgendein spezifischer Vertragsbug. April 2026 wurde zum schlimmsten DeFi-Monat aller Zeiten primär wegen dieses Musters — sophistizierte Angreifer (am plausibelsten staatlich gestützt) entdeckten, dass die operative Schicht von DeFi-Protokollen nun das schwache Glied ist, und passten ihr Targeting entsprechend an.

Die „AI-getriebener DeFi-Hacker"-Theorie — dass die Rate und Sophistikation der 2026er Vorfälle automatisierte Entdeckung und Exploitation durch ML-augmentierte Operationen widerspiegelt — hat in der Security-Research-Community an Boden gewonnen, bleibt aber laut öffentlichem Reporting spekulativ.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2026/04/30/wasabi-protocol-drained-for-usd4-5-million-in-apparent-admin-key-compromise
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-wasabi-protocol-hack-april-2026
  3. [03]thedefiant.iohttps://thedefiant.io/news/hacks/wasabi-protocol-hack

Verwandte Einträge