Puntos clave de la noticia:
- Wasabi Protocol sufrió un aparente compromiso de clave administrativa que drenó cerca de $4,55 millones de bóvedas de perpetuos y pools de liquidez en varias cadenas.
- El atacante habría usado una dirección de despliegue comprometida para otorgar ADMIN_ROLE, actualizar contratos de Wasabi y barrer saldos sin explotar un bug convencional de contrato inteligente.
- Virtuals congeló depósitos de margen, se advirtió a usuarios evitar transacciones con Wasabi, y las prioridades ahora son revocar aprobaciones, rotar claves y publicar un post-mortem técnico.
Wasabi Protocol se convirtió en otro golpe duro dentro del preocupante registro de seguridad DeFi de abril, después de que un aparente compromiso de clave administrativa drenara cerca de $4,55 millones de su infraestructura de trading en múltiples cadenas. El ataque afectó bóvedas de perpetuos y pools de liquidez vinculados a Ethereum, Base y Blast, convirtiendo una billetera privilegiada de despliegue en el centro de una falla a nivel de protocolo. Lo más inquietante del episodio es la simplicidad del punto de control: una sola vía administrativa comprometida parece haber sido suficiente para transformar permisos de actualización en extracción directa de fondos, en un mes ya marcado por más de $600 millones en pérdidas DeFi.
🚨 Blockaid's exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool to…
— Blockaid (@blockaid_) April 30, 2026
Las claves administrativas se convierten en el eslabón más débil de DeFi
La mecánica apunta más a una falla operativa que a un error convencional de contrato inteligente. Según los reportes, la dirección de despliegue comprometida controlaba los contratos Perpmanager de Wasabi y fue utilizada para otorgar ADMIN_ROLE a un contrato auxiliar malicioso. Desde ahí, el atacante ejecutó actualizaciones UUPS no autorizadas sobre los proxies de WasabiVault y WasabiLongPool, reemplazando la lógica legítima con código capaz de barrer saldos. En términos simples, el ataque convirtió la autoridad de gobernanza en un arma, usando la propia arquitectura de actualización del protocolo para mover colateral, fondos de pools y exposición de usuarios hacia flujos controlados por el atacante, sin depender de reentrancy, manipulación de oráculos ni un exploit exótico a nivel de código.
Los monitores de seguridad detectaron el incidente mientras ocurría, con Hypernative emitiendo alertas de alta severidad en tres cadenas, y Blockaid, Cyvers y Defimonalerts también identificando actividad sospechosa. El ataque habría comenzado alrededor de las 07:48 UTC y duró cerca de dos horas, durante las cuales los fondos fueron consolidados en ETH, puenteados cuando fue necesario y distribuidos entre varias direcciones. La mayor pérdida individual reportada fue de 840,9 WETH, valorados en más de $1,9 millones en ese momento. Para los usuarios, el radio de impacto fue más allá de una sola bóveda, tocando activos como sUSDC, PEPE, MOG, NEIRO, ZYN, bitcoin, VIRTUAL, AERO y cbBTC antes de que la revocación de aprobaciones se volviera una prioridad urgente.
El incidente también puso en alerta a infraestructura relacionada. Virtuals Protocol congeló los depósitos de margen tras la brecha, aunque afirmó que sus propios sistemas permanecían intactos, y se advirtió a los usuarios que evitaran firmar transacciones relacionadas con Wasabi. Sin una declaración pública de Wasabi al momento de la última actualización disponible, el foco ahora pasa a la rotación de claves, la revocación de aprobaciones y un informe técnico post-mortem. La lectura incómoda es que las auditorías no neutralizaron el riesgo de gestión de claves, porque cuando los contratos actualizables dependen de acceso administrativo centralizado, una sola falla de clave privada puede convertirse en un evento de liquidez multichain con consecuencias que van mucho más allá de un panel de protocolo.
