-
Desde Wasabi no recomiendan interactuar con sus contratos “hasta nuevo aviso”.
-
Berachain pidió a los usuarios retirar fondos de Wasabi de inmediato y revocar aprobaciones.
El equipo detrás del protocolo de finanzas descentralizadas (DeFi) Wasabi confirmó que su plataforma fue hackeada hoy 30 de abril: «Estamos al tanto del problema y lo estamos investigando activamente. Como medida de precaución, por favor no interactúes con los contratos de Wasabi hasta nuevo aviso».
Si bien el comunicado desde Wasabi no ofreció detalles, al momento de esta redacción, según reportaron las firmas de seguridad PeckShield, Blockaid, CertiK y BlockSec, el atacante drenó hasta USD 5.5 millones en las redes Ethereum, Base, Berachain y Blast.
El exploit se produjo debido a que el hacker logró tomar el control administrativo del protocolo tras comprometer la wallet principal de Wasabi, que es la cuenta con los permisos administrativos más altos del protocolo. Con la clave en su poder, el atacante se otorgó el rol de administrador, modificó los contratos que custodian los fondos de los usuarios e introdujo una versión maliciosa que transfirió esos fondos a sus propias direcciones. Los investigadores no confirmaron cómo el atacante obtuvo la clave de esa wallet de Wasabi.
El desarrollador conocido en X como Vadim agregó que el contrato de Wasabi funcionó exactamente como fue diseñado y que el problema no fue un error en el código, sino una decisión de arquitectura. El protocolo concentraba el control administrativo en una sola wallet, sin requerir múltiples firmas ni un período de espera antes de ejecutar cambios críticos. Cualquiera que obtuviera esa clave podía modificar el protocolo de forma instantánea, sin restricciones.
¿Cómo se vieron afectados los usuarios de Wasabi?
Wasabi permite depositar activos en bóvedas de liquidez a cambio de rendimiento. Al hacerlo, el protocolo entrega tokens LP (del inglés liquidity provider, proveedor de liquidez), que funcionan como recibos digitales que representan la participación del usuario en esa bóveda y le permiten retirar su capital más las ganancias acumuladas.
Fueron exactamente esas bóvedas las que el atacante vació al tomar control administrativo del protocolo, según los analistas de Blockaid. Los tokens LP que los usuarios conservan en sus wallets siguen mostrando valor en pantalla, pero conforme a Blockaid su valor de rescate es cero: los fondos que los respaldaban ya no están.
Vadim confirmó que, tras el drenaje, el equipo de Wasabi logró revocar los permisos del atacante, por lo que no sería posible un segundo ataque por el mismo vector. Los fondos robados, sin embargo, permanecen en las wallets del atacante.
Finalmente, el equipo de Berachain explicó que «si tenés fondos en Wasabi, retiralos ahora». Desde el equipo de Blockaid, por su parte, recomiendan revocar de inmediato cualquier aprobación activa a los contratos de Wasabi para impedir que el atacante pueda acceder a fondos adicionales.
