Wasabi-Protokoll um $5 Millionen nach Kompromittierung des Admin-Keys über vier Chains ausgeplündert

Ein weiterer Tag, ein weiteres DeFi-Protokoll, das ausgeplündert wurde. Das Wasabi-Protokoll, eine Plattform für Perpetuals-Trading, die über Ethereum, Base, Berachain und Blast operiert, verlor zwischen $4,5 Millionen und $5,5 Millionen am 30. April, nachdem ein Angreifer den Admin-Key des Deployers kompromittiert hatte und ihn nutzte, um systematisch die Vault-Verträge über alle vier Chains zu leeren.
Der Angriff war schnell und methodisch. Sobald der Angreifer den Admin-Key hatte, rief er grantRole im Berechtigungsvertrag von Wasabi auf, um sich selbst volle Admin-Rechte ohne Verzögerung zu geben - kein Timelock, keine Wartezeit. Von dort aus hat er laut The Block die Perpetual-Vaults und den Long Pool des Protokolls auf bösartige Implementierungen aktualisiert, die einfach die Salden abgezweigt haben.
Was wurde getroffen
Auf Ethereum beinhalteten die betroffenen Verträge Wasabis wWETH, sUSDC, wBITCON, wPEPE und Long Pool Vaults. Auf Base traf der Angriff sUSDC, wWETH, sBTC, sVIRTUAL, sAERO und sBRETT Vaults. Berachain und Blast-Exposition erhöhten den Gesamtschaden.
Die Sicherheitsfirma Blockaid hat den Exploit während des Geschehens gekennzeichnet, was zumindest einigen Nutzern Zeit zum Reagieren gab - aber die Natur eines Admin-Schlüsselkompromisses bedeutet, dass es sehr wenig gibt, was das Protokoll selbst tun kann, sobald dieser Schlüssel in feindlichen Händen ist. Der Angreifer kontrollierte den Upgrade-Mechanismus. Sie schrieben die Verträge neu.
Der Sicherheitsfehler ist peinlich grundlegend
Das schmerzt, weil es so vermeidbar ist. Die Grundursache war kein neuartiger Zero-Day, kein komplexer Re-Entrancy-Bug oder ein subtiler Edge-Case in einem kryptografischen Primitive. Es war ein einzelnes externes Konto, das die volle ADMIN_ROLE im Wasabis PerpManager hielt, ohne Multisig-Anforderung, ohne Timelock und ohne Governance-Prozess, der diesen Zugang schützt.
Das sind grundlegende Sicherheitsanforderungen für jedes Protokoll, das echte Nutzermittel verwaltet. Die Anforderung mehrerer Schlüssel zum Signieren einer privilegierten Aktion - oder die Auferlegung einer 24- oder 48-stündigen Verzögerung, bevor ein Upgrade wirksam wird - hätte diesen Angriff vollständig gestoppt. Ein Timelock allein hätte Nutzern und Sicherheitsforschern Zeit gegeben, die bösartige Transaktion, die in der Warteschlange stand, zu bemerken und zu reagieren, bevor sie ausgeführt wurde.
Wasabi ist nicht das erste Protokoll, das diese Schutzmaßnahmen überspringt und dafür bezahlt. Es wird nicht das letzte sein. Aber die Regelmäßigkeit, mit der zentralisierte Admin-Schlüssel im DeFi kompromittiert werden - und die Regelmäßigkeit, mit der die Nachuntersuchung zeigt, dass nie ein Multisig oder Timelock vorhanden war - ist zu diesem Zeitpunkt der Entwicklung der Branche wirklich schwer zu erklären.
Kontext: Der schlimmste Monat in der Geschichte
Der Wasabi-Exploits landete am Ende von April 2026, das als der schlimmste Monat für Krypto-Hacks seit Beginn der Aufzeichnungen schloss. DeFiLlama bestätigte 30 separate Vorfälle im April mit Gesamtschäden über 625 Millionen Dollar - etwa ein Angriff pro Tag. Zwei Vorfälle dominierten: der Drift Protocol Social-Engineering-Diebstahl (ungefähr 285 Millionen Dollar) und der KelpDAO LayerZero-Brücken-Exploits (292 Millionen Dollar), beide von Forschern der Lazarus-Gruppe aus Nordkorea zugeschrieben.
Wasabis $5 Millionen Verlust sieht im Vergleich zu diesen Zahlen bescheiden aus, aber es erinnert uns daran, dass die Angriffsfläche nicht auf massive Brückenverträge und gut finanzierte Protokolle beschränkt ist. Kleinere Perpetuals-Plattformen mit echten Nutzereinlagen und einem einzigen ungeschützten Admin-Schlüssel sind genauso anfällig - und der wirtschaftliche Anreiz, sie ins Visier zu nehmen, ist real.
Was Nutzer wissen sollten
Das Wasabi-Protokoll hat die betroffenen Vaults gestoppt und über den Vorfall in den sozialen Medien berichtet. Nutzer mit offenen Positionen oder Einlagen in den betroffenen Verträgen sollten ihren Status direkt über offizielle Wasabi-Kanäle verifizieren und skeptisch gegenüber Rückerstattungsangeboten sein, die per DM eintreffen - der gefälschte Rückerstattungsbetrug, der auf Exploits folgt, ist fast so zuverlässig wie die Exploits selbst.
Die breitere Lektion aus April 2026 ist eine, die die Branche immer wieder neu lernt: Es spielt keine Rolle, wie gut die Handelsoberfläche ist, wie wettbewerbsfähig die Gebühren sind oder wie viel TVL ein Protokoll angesammelt hat. Wenn der Admin-Schlüssel alles in einer Transaktion ohne Sicherheitsvorkehrungen abziehen kann, wird irgendwann jemand diesen Schlüssel bekommen. Entsprechend bauen.
---------------
Autor: Alan Ward Seattle News Desk
 Abonniere GCP in einem Reader