Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 273Compromiso de clave privada

Compromiso de EOA desplegador en Wasabi Protocol

Las bóvedas perp de Wasabi en Ethereum, Base, Berachain y Blast perdieron $5M cuando un EOA desplegador con ADMIN_ROLE único permitió upgrades UUPS.

Fecha
Víctima
Wasabi Protocol
Cadena(s)
EthereumBase
Estado
Fondos robados

El 30 de abril de 2026, el protocolo descentralizado de futuros perpetuos Wasabi Protocol fue drenado por aproximadamente $5 millones tras que los atacantes comprometieran el EOA desplegador que tenía el único ADMIN_ROLE del protocolo — sin timelock y sin protección multisig. El compromiso afectó a los despliegues en Ethereum, Base, Berachain y Blast. El incidente ocurrió en medio de abril de 2026, que se convirtió en el peor mes de la historia para exploits DeFi con aproximadamente $635 millones perdidos en 28 incidentes.

Qué ocurrió

La arquitectura de contratos inteligentes de Wasabi Protocol usaba proxies UUPS (Universal Upgradeable Proxy Standard) para sus bóvedas de futuros perpetuos — permitiendo al equipo del protocolo actualizar las implementaciones con el tiempo. Los privilegios sobre los proxies estaban tras un único rol: ADMIN_ROLE.

La elección arquitectónica fatal: el ADMIN_ROLE lo tenía una única cuenta de propiedad externa (EOA) — la misma billetera que originalmente había desplegado los contratos. No había timelock entre el inicio y la ejecución de una acción admin, y no había multisig requiriendo múltiples firmas. Comprometer el único EOA desplegador era comprometer cada despliegue en cada cadena.

El ataque:

  1. Comprometió el EOA desplegador — el vector específico no fue divulgado públicamente, pero el patrón es consistente con un compromiso a nivel de endpoint (malware, phishing, robo de credenciales).
  2. Usó la clave comprometida para conceder ADMIN_ROLE a un contrato helper malicioso controlado por los atacantes.
  3. Con autoridad admin establecida, realizó actualizaciones de proxy UUPS en:
    • Los contratos de bóvedas de futuros perpetuos de Wasabi
    • El contrato LongPool
    • Varios contratos de soporte
  4. Reemplazó las implementaciones legítimas con maliciosas que permitían el drenaje directo del colateral y los saldos de los pools.
  5. Ejecutó el drenaje en las cuatro cadenas afectadas en rápida sucesión.

Total extraído: aproximadamente $4,55-5 millones en activos mixtos.

Consecuencias

  • Wasabi pausó operaciones en todas las cadenas afectadas.
  • El equipo reconoció el patrón admin de EOA único como causa raíz estructural.
  • Sin recuperación pública desde las billeteras del atacante.
  • El incidente contribuyó a la pérdida total DeFi de $635M de abril de 2026 — el agregado mensual peor registrado, superando incluso los meses que contenían grandes eventos individuales como el robo de Bybit.

Por qué importa

El incidente de Wasabi Protocol es el caso de libro de texto de 2026 sobre por qué los roles admin de EOA único ya no son aceptables para ningún protocolo de tamaño significativo. El patrón estructural — clave de desplegador con autoridad de actualización total, sin timelock, sin multisig — fue ampliamente identificado como arriesgado una década antes en la literatura de seguridad de Solidity; se suponía que el incidente de Parity Multisig en 2017 había hecho universal la lección.

En la práctica, el patrón persiste porque:

  1. El despliegue multi-firma es operacionalmente complejo — coordinar firmas entre múltiples partes, especialmente para operaciones de mantenimiento rutinario, es lento y propenso a errores.
  2. Los timelocks retrasan operaciones legítimas — los protocolos que quieren lanzar cambios rápidos resisten la fricción.
  3. El coste de la arquitectura protectora se paga por adelantado, en sobrecarga operativa — el coste de saltarse esta se paga solo cuando (no si) la billetera del desplegador es comprometida.

El patrón recurre a cada escala a lo largo de 2025-2026:

  • Drift Protocol (abr 2026, $285M) — bypass de firma de durable-nonce.
  • KelpDAO (abr 2026, $292M) — puente LayerZero con un solo DVN.
  • Wasabi Protocol (abr 2026, $5M) — rol admin de EOA único.

Los tres son incidentes de 2026 donde la configuración de seguridad operativa fue toda la superficie de ataque, no algún bug específico de contrato. Abril de 2026 se convirtió en el peor mes DeFi registrado principalmente debido a este patrón — atacantes sofisticados (más plausiblemente alineados con un Estado) descubrieron que la capa operativa de los protocolos DeFi es ahora el eslabón débil, y desplazaron su objetivo en consecuencia.

La teoría del "hacker DeFi impulsado por IA" — que la tasa y sofisticación de los incidentes de 2026 refleja descubrimiento y explotación automatizados por operaciones aumentadas con ML — ha ganado tracción en la comunidad de investigación de seguridad pero permanece especulativa según los reportes públicos.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2026/04/30/wasabi-protocol-drained-for-usd4-5-million-in-apparent-admin-key-compromise
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-wasabi-protocol-hack-april-2026
  3. [03]thedefiant.iohttps://thedefiant.io/news/hacks/wasabi-protocol-hack

Registros relacionados