Hacker hat über 5 Millionen Dollar vom Wasabi-Protokoll abgehoben

Am 30. April wurde das Wasabi-Projekt gehackt. Laut Experten von PeckShield belief sich der Schaden auf über 5 Millionen US-Dollar.

#PeckShieldAlert Das @wasabi_Protokoll wurde auf mehreren Blockchains, darunter Ethereum, Base, Berachain und Blast, für über 5 Millionen US-Dollar ausgenutzt. pic.twitter.com/zkWjEkZMMp

— PeckShieldAlert (@PeckShieldAlert) 30. April 2026

Experten von CertiK schätzten den Schaden auf 5,5 Millionen US-Dollar. Der Angriff betraf Vermögenswerte in mehreren Netzwerken: Ethereum, Base, Berachain und Blast.

AKTUALISIEREN:

Die Gesamtverluste belaufen sich auf ca. 5,5 Mio. US-Dollar in den Blockchains ETH, BASE, BLAST und BERA: https://t.co/c37s3gNtwB https://t.co/Sj9gtovG5K https://t.co/E5W6LLDuen https://t.co/fUZrwM5NmK

— CertiK Alert (@CertiKAlert) 30. April 2026

Laut Blockaid erlangte der Angreifer Zugriff auf den administrativen Schlüssel und legte mithilfe einer speziellen Wasabi-Wallet seine eigene Version des Smart Contracts als Master fest. Anschließend ersetzte er mithilfe eines UUPS-Upgrades die interne Logik des Plattform-Speichers und hob die Vermögenswerte ab.

Der Gründer von SlowMist, der unter dem Pseudonym Cos auftritt, machte auf die schwachen Sicherheitsmechanismen des Protokolls aufmerksam. Seinen Angaben zufolge wurde die Speicherung durch eine einzige EOA ohne Mehrfachsignatur, Zeitsperre oder DAO verwaltet. Dies ermöglichte es Hackern, den privaten Schlüssel leicht zu kompromittieren, was in der Community Fragen aufwarf.

Warum hatte eine einzelne EOA scheinbar so viel Macht ohne grundlegende Schutzmechanismen?

Scheinbar wurde deine Erfolgsgeschichte von Influencern wie Kook ruiniert… https://t.co/sRNtM8Ai8K pic.twitter.com/rXzCSZpCD0

— ZachXBT (@zachxbt) 30. April 2026

BlockSec fügte hinzu, dass Wallets, die über den Krypto-Mixer Tornado Cash finanziert wurden, administrative Rollen erhielten.

Laut Cyvers hat der Cyberkriminelle WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO und VIRTUAL gestohlen und die Vermögenswerte bereits in ETH umgewandelt und auf mehrere Adressen verteilt.

🚨WARNUNG🚨Unser System hat mehrere verdächtige Transaktionen mit Bezug zu @wasabi_protocol festgestellt.

Eine über @TornadoCash finanzierte Adresse hat einen schädlichen Smart Contract auf #Base und #Ethereum ausgeführt und damit ca. 4,5 Millionen US-Dollar über verschiedene Kryptowährungen, darunter $WETH, $PEPE, $MOG, $USDC, erbeutet. pic.twitter.com/UHTRNvqZ15

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 30. April 2026

Das Wasabi-Team bestätigte den Hack und riet den Nutzern, bis auf Weiteres nicht mit den Verträgen des Protokolls zu interagieren.

„Wir werden aktualisierte Informationen bereitstellen, sobald neue Daten verfügbar sind“, merkten die Entwickler an.

Zur Erinnerung: Das L1-Netzwerk ZetaChain veröffentlichte eine Analyse des Hackerangriffs vom 27. April. Das Team gab an, dass die Ursache des Angriffs eine Schwachstelle im kettenübergreifenden Messaging-Mechanismus war.