Wasabi Protocol потерял свыше $5 млн в результате взлома

• Blockaid зафиксировала активный эксплойт в сетях Ethereum и Base.
• Злоумышленник получил ADMIN_ROLE и заменил смарт-контракты на вредоносные.
• Предварительный ущерб оценивается в более чем $5 млн.

Аналитики по безопасности Blockaid сообщили об атаке на проект Wasabi Protocol. В ходе нее злоумышленник использовал компрометацию административного ключа для захвата контроля над ключевыми контрактами.

По данным экспертов, инцидент затронул сети Ethereum и Base и сопровождался выводом средств пользователей.

Атака началась с использования адреса деплоера протокола, через который атакующий выдал своему вспомогательному контракту роль администратора.

Далее злоумышленник воспользовался механизмом обновления смарт-контрактов (UUPS-апгрейд). Обычно он применяется для легитимных обновлений протокола.

Получив права администратора, он подменил «логику» работы ключевых контрактов — хранилищ средств пользователей (perp vaults) и пула ликвидности (LongPool) — на вредоносную версию. В результате система сама начала выполнять заложенные в ней команды и фактически позволила вывести средства пользователей.

Ущерб превысил $5 млн

Эксперты отмечают, что вектор атаки связан не с уязвимостью торговой логики, а с компрометацией прав доступа. Использование механизма обновляемых контрактов позволило злоумышленнику легитимно изменить код, не вызывая немедленных подозрений на уровне инфраструктуры.

По предварительным оценкам аналитиков, ущерб может составлять свыше $5 млн, однако окончательные данные пока не подтверждены. Команда проекта на момент публикации не представила заявлений о произошедшем.

Инцидент усилил опасения вокруг безопасности DeFi-протоколов с апгрейдами и централизованными ролями управления.

В апреле 2026 года произошла целая