Nuove criticità colpiscono la finanza decentralizzata: l’attacco a Wasabi Protocol ha causato perdite per circa 5 milioni di dollari su più reti, riaccendendo l’attenzione sui punti deboli delle chiavi amministrative.
Summary
Una violazione del wallet deployer ha aperto i contratti agli aggressori
Wasabi Protocol, piattaforma di derivati DeFi, ha subito una violazione dopo la compromissione del wallet deployer. Secondo PeckShield e CertiK, l’origine dell’incidente è una chiave amministrativa sottratta, che ha dato agli attaccanti accesso privilegiato ai contratti principali.
Da quel momento, gli aggressori hanno modificato la logica del protocollo a proprio vantaggio. In pratica, hanno eseguito aggiornamenti ai contratti per dirottare fondi da quote dei liquidity provider e vault verso wallet sotto il loro controllo.
Inoltre, un sistema di rilevamento ha identificato una compromissione in corso della chiave admin su Ethereum e Base. L’EOA deployer di Wasabi è stato usato per assegnare un ADMIN_ROLE a un helper contract controllato dall’attaccante, che ha poi effettuato upgrade UUPS dei perp vaults e del LongPool.
L’attacco a Wasabi Protocol ha colpito quattro blockchain
L’operazione è stata coordinata su Ethereum, Base, Berachain e Blast. Il caso evidenzia i rischi dell’infrastruttura cross-chain, perché un solo punto di compromissione può propagare l’impatto su più ecosistemi.
Tuttavia, l’allerta più urgente riguarda i token LP emessi da Wasabi o dai vault “Spicy”. Blockaid ha avvertito che questi asset devono essere considerati compromessi finché la chiave del deployer non sarà messa in sicurezza.
I primi dati on-chain indicano che l’attaccante avrebbe usato account finanziati tramite Tornado Cash. In seguito, gli asset sottratti, tra cui WETH, USDC e meme coin come PEPE, sono stati ricondotti su Ethereum.
Inoltre, gran parte dei fondi sarebbe già stata trasferita tramite bridge e redistribuita su una rete di indirizzi offuscati. Questo rende più complessa la tracciabilità, rispetto a incidenti confinati a una sola chain.
Aprile 2026 è già il mese peggiore di sempre per la sicurezza DeFi
Il caso si inserisce in un quadro più ampio. Aprile 2026 è diventato il mese peggiore nella storia della sicurezza DeFi, con oltre 600 milioni di dollari persi in più di 25 protocolli.
Secondo gli analisti del settore, sta emergendo una tendenza preoccupante: gli hacker usano strumenti di intelligenza artificiale avanzata per individuare e sfruttare vulnerabilità negli smart contract più rapidamente di quanto i revisori riescano a correggerle.
Detto ciò, il protocollo ha sospeso i contratti e congelato i depositi a margine. L’episodio conferma che anche i progetti multi-chain più noti restano vulnerabili quando le chiavi più sensibili non sono protette in modo adeguato.
Quali utenti e servizi risultano coinvolti
Alla domanda sulla sicurezza dei fondi, il team ha invitato gli utenti a interrompere subito ogni interazione con i contratti di Wasabi mentre prosegue l’indagine. La raccomandazione, per ora, è di non effettuare nuove operazioni.
Un altro punto riguarda Virtuals Protocol, che utilizza Wasabi per i depositi a margine. Il team ha precisato che la sicurezza del proprio nucleo operativo resta intatta, ma ha congelato in via precauzionale i depositi collegati a Wasabi.
Nel complesso, l’attacco conferma che le admin key restano il vero tallone d’Achille della DeFi. Con aggressori sempre più rapidi e organizzati, il settore dovrà spingere verso modelli di governance multi-firma più solidi.
