Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 273Compromission de clé privée

Compromission EOA deployer Wasabi Protocol

Les coffres perp de Wasabi sur Ethereum, Base, Berachain et Blast ont perdu 5 M$ : un EOA deployer compromis avec ADMIN_ROLE unique a permis des upgrades UUPS.

Date
Victime
Wasabi Protocol
Chaîne(s)
EthereumBase
Statut
Fonds dérobés

Le 30 avril 2026, le protocole décentralisé de futures perpétuels Wasabi Protocol a été drainé d'environ 5 millions de dollars après que des attaquants ont compromis l'EOA deployer qui détenait l'unique ADMIN_ROLE du protocole — sans timelock ni protection multisig. La compromission a affecté les déploiements sur Ethereum, Base, Berachain et Blast. L'incident est tombé au milieu d'avril 2026, devenu le pire mois de tous les temps pour les exploits DeFi avec environ 635 millions de dollars perdus sur 28 incidents.

Ce qui s'est passé

L'architecture des contrats intelligents de Wasabi Protocol utilisait des proxys UUPS (Universal Upgradeable Proxy Standard) pour ses coffres de futures perpétuels — permettant à l'équipe protocole de mettre à niveau les implémentations au fil du temps. Les privilèges sur les proxys étaient gardés derrière un rôle unique : ADMIN_ROLE.

Le choix architectural fatal : l'ADMIN_ROLE était détenu par un compte unique appartenant à l'extérieur (EOA) — le même wallet qui avait originellement déployé les contrats. Il n'y avait pas de timelock entre l'initiation et l'exécution d'une action admin, et pas de multisig nécessitant plusieurs signatures. Compromettre l'unique EOA deployer revenait à compromettre chaque déploiement sur chaque chaîne.

L'attaque :

  1. A compromis l'EOA deployer — le vecteur spécifique n'a pas été divulgué publiquement, mais le pattern est cohérent avec une compromission de niveau endpoint (malware, phishing, vol de credentials).
  2. A utilisé la clé compromise pour accorder l'ADMIN_ROLE à un contrat helper malveillant contrôlé par les attaquants.
  3. Avec l'autorité admin établie, a effectué des mises à niveau de proxy UUPS sur :
    • Les contrats de coffre de futures perpétuels de Wasabi
    • Le contrat LongPool
    • Divers contrats de support
  4. A remplacé les implémentations légitimes par des malveillantes qui permettaient le drainage direct de la collatéral et des soldes de pools.
  5. A exécuté le drainage à travers les quatre chaînes affectées en succession rapide.

Total extrait : environ 4,55-5 millions de dollars en actifs mixtes.

Conséquences

  • Wasabi a mis en pause les opérations sur toutes les chaînes affectées.
  • L'équipe a reconnu le pattern admin EOA unique comme cause structurelle racine.
  • Aucune récupération publique depuis les wallets de l'attaquant.
  • L'incident a contribué au total de pertes DeFi de 635 M$ d'avril 2026 — le pire agrégat mensuel enregistré, surpassant même les mois contenant des événements individuels majeurs comme le vol Bybit.

Pourquoi c'est important

L'incident Wasabi Protocol est le cas type 2026 pour pourquoi les rôles admin EOA uniques ne sont plus acceptables pour aucun protocole de taille significative. Le pattern structurel — clé deployer avec autorité de mise à niveau complète, pas de timelock, pas de multisig — a été largement identifié comme risqué une décennie plus tôt dans la littérature de sécurité Solidity ; l'incident Parity Multisig en 2017 était censé avoir rendu la leçon universelle.

En pratique, le pattern persiste parce que :

  1. Le déploiement multi-sig est opérationnellement complexe — coordonner les signatures à travers plusieurs parties, surtout pour les opérations de maintenance routinière, est lent et sujet aux erreurs.
  2. Les timelocks retardent les opérations légitimes — les protocoles qui veulent livrer des changements rapides résistent à la friction.
  3. Le coût de l'architecture protectrice est payé en amont, en surcoût opérationnel — le coût de la sauter est payé seulement quand (pas si) le wallet du deployer est compromis.

Le pattern récidive à chaque échelle au cours de 2025-2026 :

  • Drift Protocol (avril 2026, 285 M$) — contournement de signature durable-nonce.
  • KelpDAO (avril 2026, 292 M$) — pont LayerZero à DVN unique.
  • Wasabi Protocol (avril 2026, 5 M$) — rôle admin EOA unique.

Les trois sont des incidents 2026 où la configuration de sécurité opérationnelle était l'entière surface d'attaque, pas un bug de contrat spécifique. Avril 2026 est devenu le pire mois DeFi enregistré principalement à cause de ce pattern — des attaquants sophistiqués (les plus plausiblement alignés étatiques) ont découvert que la couche opérationnelle des protocoles DeFi est désormais le maillon faible, et ont déplacé leur ciblage en conséquence.

La théorie du « hacker DeFi piloté par IA » — selon laquelle le rythme et la sophistication des incidents 2026 reflètent la découverte et l'exploitation automatisées par des opérations augmentées par ML — a gagné du terrain dans la communauté de recherche en sécurité mais reste spéculative selon les rapports publics.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2026/04/30/wasabi-protocol-drained-for-usd4-5-million-in-apparent-admin-key-compromise
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-wasabi-protocol-hack-april-2026
  3. [03]thedefiant.iohttps://thedefiant.io/news/hacks/wasabi-protocol-hack

Dépôts liés