Saldırganlar Wasabi Protocol’ün yönetici anahtarını ele geçirerek 30 Nisan 2026’da 4,5-5,5 milyon dolar arasında kripto para çaldı. Ethereum, Base ve Blast blokzincirlerindeki perpetual vault’lar ve likidite havuzları boşaltılan saldırı, anahtar yönetimi başarısızlığı nedeniyle gerçekleşti ve akıllı kontrat zafiyeti içermiyordu.
Saldırının Teknik Detayları ve Zaman Çizelgesi
Saldırı 30 Nisan 2026’da UTC 07:48’de başladı ve yaklaşık iki saat sürdü. Ele geçirilen adres 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, Wasabi’nin Perpmanager kontratlarını kontrol eden tek yönetici anahtarıydı. Saldırganlar bu anahtarı kullanarak kötü amaçlı yardımcı kontrata ADMIN_ROLE yetkisi verdi, ardından Wasabivault proxy’leri ve Wasabilongpool üzerinde yetkisiz UUPS proxy yükseltmeleri gerçekleştirdi.
En büyük tek kayıp 840,9 WETH olup saldırı anında 1,9 milyon dolardan fazla değere sahipti. Çalınan diğer varlıklar arasında sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN ve bitcoin ile Base zincirindeki VIRTUAL, AERO ve cbBTC bulunuyordu. Defillama verilerine göre Wasabi’nin exploit öncesi toplam kilitli değeri (TVL) tüm zincirler genelinde yaklaşık 8,5 milyon dolardı.
Güvenlik Firmalarının Tespitleri ve Virtuals Protocol’ün Tepkisi
Güvenlik firması Hypernative, üç zincirde de yüksek önem düzeyinde uyarılar vererek olayı tespit etti. Blockaid, Cyvers ve Defimonalerts da aktiviteyi gerçek zamanlı olarak algıladı. Hypernative’in Wasabi müşterisi olmadığını ancak ihlali bağımsız olarak tespit ettiğini ve tam teknik analiz yapacağını taahhüt ettiğini belirtti.
Wasabi üzerinden marj yatırımları sağlayan Virtuals Protocol, ihlal tespit edilir edilmez harekete geçerek tüm marj yatırımlarını dondurdu. Virtuals ekibi kendi güvenliğinin tam olarak sağlam kaldığını açıkladı. Saldırganlar kötü amaçlı kontrat aracılığıyla yedi ila sekiz WasabiVault proxy’sine strategyDeposit() çağrısı yaparak sahte strateji geçirdi ve drain() fonksiyonunu tetikleyerek tüm teminatı kendilerine aktardı.
Anahtar Yönetimi Başarısızlığının Piyasa Etkileri
Bu olay klasik akıllı kontrat zafiyeti değil, anahtar yönetimi başarısızlığıydı. Reentrancy veya mantık exploiti kullanılmadı. Saldırganların özel anahtarı oltalama, kötü amaçlı yazılım veya doğrudan hırsızlık yoluyla elde ettikten sonra yükseltebilir proxy mimarisini kötüye kullanarak geleneksel güvenlik kontrollerini tetiklemeden fonları boşalttığı değerlendiriliyor.
Fonlar ETH’ye konsolide edildi, gerektiğinde köprülendi ve çoklu adreslere dağıtıldı. Erken raporlar bazı aktivitelerin Tornado Cash ile bağlantılı olduğunu kaydetti. Wasabi Protocol henüz resmi açıklama yapmadı ve kullanıcıların Ethereum, Base ve Blast zincirlerindeki tüm onaylarını iptal etmesi gerekiyor.
Kaynak: news.bitcoin.com
