Wasabi Protocol、管理者キーの侵害と見られる事象により450万ドルの資金が流出

DeFiは止まらない損失に直面しており、Wasabi Protocolがその原因を最新で明らかにしました。

イーサリアムとBase上に構築されたパーペチュアルズ取引プラットフォームである当該プロトコルは、木曜日に攻撃者が展開者キーを侵害したため、約455万ドルが流出しました。セキュリティ企業BlockaidはXの投稿で述べました.

今回のハッキングは、少なくとも12件の事例で6億500万ドル以上のDeFi損失が発生した今月における最新の事案です。この攻撃は、北朝鮮に関連する攻撃者が管理者キーの侵害を利用して、2023年4月1日にSolanaを基盤とする永久先物取引所「Drift Protocol」から2億8500万ドルを流出させた手口と非常に類似しています。

この仕組みは、wasabideployer.ethという外部所有アカウント（EOA）を通じて運用されており、同アカウントはWasabiの権限システムにおいて唯一のADMIN_ROLEを保持していました。

EOAとは、スマートコントラクトとは異なり、プライベートキーによって管理されるウォレットを指します。キーを保持する者がウォレットの管理権を有します。攻撃者がデプロイヤーキーにアクセスした後、権限コントラクトのgrantRoleを呼び出すことで、即座に管理者権限を付与しました。

同社のヘルパーコントラクトは、その後、Wasabiのパーペチュアルバルトおよびロングプールをマルウェア実装にアップグレードし、残高を吸い上げたとBlockaidは述べた。

このエクスプロイトは、同一のアドレスを維持しながらスマートコントラクトの基盤コードを変更できる「Universal Upgradeable Proxy Standard（UUPS）」という標準に依拠していました。

UUPSは、ユーザーを移行させることなく開発者がバグを修正できるため、広く利用されています。一方で、攻撃者が管理者権限を掌握した場合、資金を盗むようなコードを含め、契約のロジックを任意のものに差し替えられるリスクが存在します。

Blockaidによると、Wasabiの管理者権限にはタイムロックもマルチシグも設定されていませんでした。タイムロックは管理者のアクションが発表されてから実行されるまでに遅延を設けることで、ユーザーに対応する時間を提供します。マルチシグは複数の署名者による承認を必要とします。Wasabiにはこれらがいずれもなく、単一の鍵がプロトコルの完全な制御を握っていました。

Blockaidによると、イーサリアム上のWasabiのwWETH、sUSDC、wBITCOIN、wPEPE、およびLong Poolの各ボールトに加え、Base上のsUSDC、wWETH、sBTC、sVIRTUAL、sAERO、sBRETTボールトも不正アクセスの影響を受けています。

Wasabi LPトークンを保有するユーザーは、これらのトークンを裏付ける基礎資産が既に流出しているか、依然としてリスクにさらされているため、ボールト契約へのすべての有効な承認を取り消すよう呼びかけられました。

1か月の脆弱性攻撃

Driftの場合、攻撃者は単一キーの管理者設定とガバナンスのタイムロックがない点を悪用し、偽のトークンを担保としてリストし、引き出し限度額を引き上げました約12分で実物資産を流出させるために.

3週間後の4月19日、Kelp DAOは2億9,200万ドルを失いました攻撃者がプロトコルのLayerZeroブリッジにおける単一検証者構成の脆弱性を悪用し、116,500の裏付けのないrsETHを放出、その後これを担保としてAaveから実際のイーサ（ETH）を借り入れた。

2026年の累積DeFi損失総額は、報告された30件以上のインシデントを通じて7億7,000万ドルを超えました。4月だけでその金額の大部分を占めています。

今月発生した比較的小規模なセキュリティ侵害には、CoW Swap（120万ドル）、Grinex（1,374万ドル）、Resolv Labs（2,300万ドル）、Volo Protocol（350万ドル）などが含まれます。

彼らを結びつけるのは新たな脆弱性ではありません。各インシデントは同じ教訓を得たという事後分析の言葉を生み出しますが、その教訓が実行される前に次のエクスプロイトが通常発生します。

Wasabiは本件に関して、まだ公式な声明を発表していません。

更新（4月30日、11:34 UTC）：全般的な編集を実施。Drift Protocolのエクスプロイトに関する記述を第3段落に移動しました。