30.04.2026 10:07

Son dönemde Wasabi Protokolü karşı bir güvenlik breachesı gerçekleşti ve üç büyük zincir üzerinden yaklaşık yarım mili dolar kaybı yaşandı. Yetkili olmayan bir aktör 30 Nisan 2026 tarihinde, yönetici (admin) anahtarını kontrol ederek, $4,5 milyon ile $5,5 milyon arasında değerli varlıkları çökmüştür. Olay sonrasında Virtuals Protokolü, platformu korumak amacıyla margin‑deposit işlemlerini durdurdu, mientras Wasabi hâlâ kamuya açıklama yapmadı. Kullanıcılar, protocol tarafından Ethereum, Base ve Blast ağları üzerinde tutabileceği her izin (allowance)'ı iptal etmeyi önerildi.

Kompromitten olan adres — 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8 — Wasabi’nin Perpmanager sözleşmelerinin tek admin anahtarı olarak hizmet görmüştür. Saldırgan önce ADMIN_ROLE'ü bir malişmi (malicious helper) sözleşmesine vererek, ardından bu yetkiyi kullanarak çeşitli WasabiVault proxy'lerini ve Wasabilongpool'u yetkisiz UUPS proxy'ler aracılığıyla güncelledi. Bu güncellemeler, tüm collateral ve pool denge kalansını saldırıcının cüzdanlarına yönlendiren bir drain() fonksiyonu açarak bir arka kapı açtı. Hypernative, Blockaid, Cyvers ve Defimonalerts gibi güvenlik firmaları, olayın gerçekleştiği an dakika içinde yüksek‑severlik uyarısı göndermeleriyle, saldırının Wasabi ile doğrudan ilişkisi olmadan bağımsız olarak tespit edildiğini kanıtladı.

Yeni olayın sekansına şöyle bakılır: yaklaşık 07:48 UTC, başlangıç noktasında saldırgan, Ethereum, Base ve Blast'ta ADMIN_ROLE vererek, malişmi bir sözleşmenin strategyDeposit() fonksiyonunu sekiz‑dokuz WasabiVault proxy'lerine çağırmasıyla, sahte bir strategy sunarak drain mekanizmasını aktif etti; varlıklar saldırıcının cüzdanlarına aktarıldı. Wasabilongpool, Ethereum ve Base üzerinde bir rogue (kayıtsız) uygulama ile güncellenerek kalan fonların hepsini çökmüştür. Zincir analizi, stolen (hırsız) sermayenin büyük bölünün ETH'ye dönüştürülüp gerekli olduğunca köprülendirildiğini ve bir dizi adrese dağıtıldığını gösterdi. Erken göstergeler, bu hırsızlığın Tornado Cash karışımına bağlı olabileceğini işaretledi. Çıkan varlıklar arasında, en büyük tek transaksiyon 840,9 WETH (değişimdeki itibarı $1,9 milyondan fazla) oluştu. Ek drains sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN ve bitcoin, ayrıca Base‑native tokenları VIRTUAL, AERO ve cbBTC da dahil olmak üzere çeşitliydi.

Yazı anında, Wasabi’nin toplam değerli kilitle (TVL) hâlâ ciddi şekilde azalmış, bu da gerçeğin ne kadar büyük bir darbe olduğunu vurguluyor. Genel olarak, olay tek bir kompromitten admin anahtarı çökmüş olayı, çok zincirli bir değerlendirme yoluyla birden fazla zincir üzerinden değer kaybına yol açabileceğini gösteriyor; bu da DeFi katılımcılerinin, bir breaching sonrası izinlerin (permissions) hızlıca iptal etme konusunda artan bir dikkatli yaklaşım benimsemesini ve hızlı reaksiyonların önemi konusunda pekiştiriyor. Birden fazla blok zinciri‑güvenlik firmasının koordineli yanıtı, hedef protokol hâlâ resmi açıklama yapmadıysa bile, gerçek zamanlı tehlike tespiti yeteneğinin giderek artırıldığını gösteriyor.