Wasabi sofre um ataque no valor de 2,9 milhões de dólares: as chaves privadas do administrador foram divulgadas e o contrato foi alterado para uma versão maliciosa

A equipa de derivados DeFi Wasabi Protocol sofreu, a 30 de abril à tarde, um ataque por alegada fuga de chaves privadas de um administrador. De acordo com as monitorizações da empresa de segurança on-chain Blockaid e do CertiK Alert, o atacante, através do Deployer EOA do Wasabi, atribuiu a autorização ADMIN_ROLE ao seu próprio contrato helper e, em seguida, utilizou o mecanismo de proxy UUPS atualizável para atualizar os perp vaults e o LongPool para versões implementadas maliciosas, retirando diretamente os saldos de tokens mantidos em custódia pelo contrato. A estimativa inicial da CertiK aponta para uma perda de cerca de 2,9 milhões de dólares, e o âmbito do ataque abrangeu as redes Ethereum mainnet e Base, em cadeia dupla. O próprio Wasabi anunciou, pelas 6:33 (hora local de Taiwan), a suspensão das interações com contratos.

Caminho do ataque: chaves privadas do deployer comprometidas → concessão de ADMIN_ROLE → atualização UUPS para contrato malicioso

Por volta das 4:30 da tarde, hora local de Taiwan, a Blockaid revelou no X que o Wasabi Protocol estava a passar por um “ataque em curso de invasão da chave privada do administrador” (ongoing admin-key compromise exploit). A cadeia de ataque completa é composta por três passos: primeiro, a carteira do deployer (Deployer EOA) do Wasabi foi comprometida, e o atacante obteve a chave privada dessa carteira; em seguida, o atacante utilizou essa carteira para executar a operação grantRole, atribuindo ADMIN_ROLE ao contrato helper que controla; por fim, o contrato helper, ao aproveitar o mecanismo de atualização UUPS, substituiu a implementação (implementation) de dois contratos centrais — perp vaults (cofre de contratos perpétuos) e LongPool (pool de fundos long) — por uma versão maliciosa, que retirou diretamente os saldos de tokens em custódia pelo contrato.

UUPS (Universal Upgradeable Proxy Standard) é um modelo de contratos inteligentes atualizáveis promovido pela OpenZeppelin, em que a lógica de atualização fica na “implementação do contrato” e não na camada do proxy. A vantagem é que o custo de gas é mais baixo e a estrutura do contrato é mais simplificada; o custo é que, se o “papel/role com capacidade de executar upgrades” for comprometido, o atacante pode substituir diretamente o contrato por qualquer lógica, sem passar por processos de governação ou por um time lock. Este incidente é um exemplo típico de abuso do modelo UUPS com fuga de chaves privadas de um administrador.

A CertiK estima perdas de 2,9 milhões de dólares; impacto nas redes Ethereum e Base

O CertiK Alert, a 30/4, pelas 4:30 da tarde, confirmou em simultâneo o evento: “O atacante foi concedido um Role privilegiado pelo deployer wallet do Wasabi, indicando que essa carteira foi comprometida.” A CertiK citou dados on-chain para estimar perdas de cerca de 2,9 milhões de dólares. O ataque ocorreu nas duas cadeias — Ethereum mainnet e Base — e os contratos centrais afetados são as duas linhas de produto: perp vaults e LongPool — o primeiro é usado para custódia de colaterais em posições de contratos perpétuos, enquanto o segundo suporta pools de fundos long.

O impacto é muito menor do que o ataque de 285 milhões de dólares sofrido pelo Drift Protocol no início de abril na Solana, mas o tipo de ataque é, em essência, semelhante — também envolve abuso de um papel de alta permissão em conjunto com a fuga da chave privada do administrador. Para o ecossistema DeFi, a repetição destes “ataques por chaves privadas” significa que a correção do código do programa do contrato inteligente, por si só, não protege as contas privilegiadas que conseguem contornar mecanismos fora do próprio código.

Wasabi suspende interações com contratos; Virtuals Protocol congela depósitos de margem

O Wasabi Protocol, oficialmente, pelas 6:33 da tarde do dia 30/4, publicou um comunicado no X: “Notámos o problema e estamos a investigar ativamente. Como medida preventiva, não interajam com contratos do Wasabi até novo aviso.” No comunicado, a equipa oficial não confirmou diretamente os detalhes do ataque descritos pela Blockaid e pela CertiK; limitou-se a indicar que mais informação seria complementada.

O projeto mais notável entre os afetados a jusante é o Virtuals Protocol — um ecossistema de protocolos populares de AI Agent ao longo do último ano, em que algumas funcionalidades do produto dependem do serviço de depósitos de margem fornecido pelo Wasabi. O Virtuals declarou, no X, a 30/4, pelas 5:07 da tarde, que a sua segurança não foi afetada, tendo congelado imediatamente a funcionalidade de depósitos de margem suportada pelo Wasabi; as restantes operações — transações, levantamentos e ações de agent — mantiveram-se normais, e foi ainda lembrado aos utilizadores que não subscrevam quaisquer transações relacionadas com o Wasabi até que o incidente seja resolvido.

Para investidores em DeFi, o alerta deste tipo de incidente é consistente: quando os protocolos se combinam entre si e se usam funcionalidades de alavancagem ou derivados de serviços a montante, a segurança das chaves privadas da infraestrutura base passa a ser um risco assumido em comum por todos os utilizadores a jusante, independentemente de o protocolo com que cada um interage diretamente ser ou não seguro.

Este artigo Wasabi sofre ataque de 2,9 milhões de dólares: fuga de chaves privadas de administrador; contrato alterado para versão maliciosa apareceu pela primeira vez em 鏈新聞 ABMedia.