Le protocole Wasabi a subi un piratage massif, perdant plus de 5,5 millions de dollars sur quatre blockchains : Ethereum, Base, Blast et Berachain.
L'exploitation provient de vulnérabilités, mais les enquêtes menées à ce jour confirment que l'exploit n'était pas dû à une faiblesse du code du Smart Contract (Contrat Intelligent) propre au protocole. C'est plutôt le piratage d'un portefeuille déployeur compromis qui est en cause, exposant l'une des faiblesses persistantes de la DeFi / Finance Décentralisée : la dépendance excessive à une gouvernance centralisée.
Les analystes en sécurité ont repéré l'incident presque immédiatement, notant que l'attaque s'est déroulée rapidement et a suivi une méthode cohérente sur chaque chaîne prise en charge. L'événement a suscité un intérêt considérable de la part des membres de la communauté crypto, qui y voient un exemple flagrant de la façon dont les vulnérabilités non liées au code peuvent causer des ravages.
Abus de Privilèges Administrateur Exécuté par l'Attaque
L'attaque a exploité l'administration de manière très systématique. Les attaquants ont d'abord compromis le Role maître qui contrôlait toute une série de nœuds dynamiques pouvant être créés par ceux qui y ont accès.
En utilisant cet accès, l'attaquant a appelé grantRole, accordant instantanément des droits d'administrateur à un nouveau contrat malveillant. La caractéristique centrale de cette opération était qu'elle contournait toutes les protections de délai, car le système permettait des attributions de Role sans aucun timelock.
Après avoir acquis le contrôle administratif, l'attaquant a déployé un contrat orchestrateur qui a appelé séquentiellement le dépôt de Pool de stratégie pour chacun des coffres. Le contrat disposant désormais de privilèges de niveau administrateur, le seul modificateur admin, censé restreindre l'accès, est devenu inefficace.
Cela a permis à l'attaquant de vider les actifs directement des coffres, transférant les fonds vers des EOA sur les quatre chaînes. La rapidité et la précision de l'assaut suggèrent qu'ils connaissaient déjà l'architecture du système et ses vulnérabilités.
Les Mesures de Récupération Immédiates Désactivent l'Accès Compromis
Par la suite, des mesures on-chain ont été prises pour désactiver rapidement les autorisations de la clé compromise. Tous les Role importants (par ex. ADMIN, ainsi que les identifiants de Role tels que 100, 101, 102 et 103) ont été supprimés du portefeuille déployeur compromis d'origine. Cela a complètement supprimé tout accès administrateur restant pour l'attaquant sur le protocole. En conséquence, cette brèche a scellé le vecteur d'attaque spécifique.
Les analystes affirment que la clé compromise ne peut plus être utilisée pour toute nouvelle série d'opérations non autorisées, une étape décisive pour mettre fin à cet incident. Cependant, même si l'accès est rétabli, les fonds volés restants se trouvent toujours dans les portefeuilles des attaquants sur ces chaînes, sans aucune option de Récupération des actifs pour l'instant.
Les utilisateurs du protocole se retrouvent bloqués avec des tokens LP sans valeur et attendent désormais une annonce sur un plan de Compensation. La brèche a eu un impact considérable sur les utilisateurs. Dans ce cas, les tokens de parts de fournisseur de liquidité (LP) se trouvant encore dans les portefeuilles des utilisateurs ont été dépouillés de leur valeur, du moins pour l'instant, car les actifs détenus par les coffres ont été vidés.
L'équipe du protocole Wasabi a confirmé l'incident et a indiqué que des enquêtes sont en cours. Jusqu'à nouvel ordre, il est fortement recommandé aux utilisateurs d'éviter d'utiliser tout contrat Wasabi afin de limiter les risques supplémentaires. Des sociétés de sécurité comme SEAL 911 et Blockaid travaillent directement avec l'équipe du protocole pour comprendre l'étendue des dommages et définir des mesures correctives. Actuellement, la communauté attend des informations sur un plan de Compensation qui sera vital pour reconstruire la confiance et aider les utilisateurs à récupérer leurs pertes.
Virtuals Protocol Réagit en Gelant les Fonctionnalités Liées à Wasabi
À plusieurs reprises, l'exploit a affecté les plateformes connectées, parmi lesquelles Virtuals Protocol, qui utilise l'infrastructure de Wasabi pour certains systèmes.
Virtuals Protocol a rapidement réagi en gelant les dépôts de marge associés à Wasabi. Ils ont pris des précautions et se sont assurés que ses opérations principales, le trading, les retraits et les fonctions des agents, fonctionnent toujours.
Alors que la situation évolue encore, les utilisateurs sont avertis de ne jamais signer aucune transaction concernant Wasabi. L'équipe a souligné que ces restrictions sont temporaires et resteront en place jusqu'à ce qu'ils puissent garantir l'intégrité des systèmes en amont.
ZachXBT Dénonce l'Absence de Protections de Sécurité Fondamentales
L'exploit a provoqué de nouvelles discussions sur la maturité des pratiques de sécurité dans la DeFi / Finance Décentralisée, au milieu de questions persistantes sur l'utilisation des contrôles administratifs. L'expert en analyse Blockchain ZachXBT remet en question la logique selon laquelle un seul compte externe (EOA) s'est vu accorder un contrôle aussi général sans filets de sécurité de base comme le multisig, et sans possibilité de timelock.
Sa critique est révélatrice d'une tendance plus large dans l'industrie : les Smart Contracts (Contrats Intelligents) font régulièrement l'objet d'audits approfondis, mais les structures de sécurité et de gouvernance au quotidien restent souvent des cibles vulnérables.
Les Exploits Non-code Se Multiplient en Avril
L'incident Wasabi est un exemple parfait de ce que nous avons vu s'intensifier tout au long d'avril : l'émergence d'exploits majeurs qui ne sont pas dus à des failles de Smart Contract (Contrat Intelligent), mais plutôt à des problèmes de sécurité administrative.
La logique du contrat a fonctionné comme prévu dans ce cas. Le modèle de confiance a échoué, c'est aussi simple que cela ; dans ce cas, S1 a utilisé une seule clé admin pour contrôler l'amont sans aucune couche de protection supplémentaire.
Ce schéma simule un changement dans le paysage des menaces. De moins en moins, les attaquants tentent de pirater un code difficile à compromettre, mais se tournent davantage vers la voie de moindre résistance en se concentrant sur les vulnérabilités de gouvernance et opérationnelles.
La leçon à retenir pour les développeurs et les protocoles est que la sécurité va au-delà de l'audit de code et implique de garantir des politiques strictes de gestion des clés, des contrôles d'accès et des mécanismes de sécurité intégrés.
Alors que les enquêtes continuent de progresser et que de plus en plus de détails émergent, l'exploit Wasabi est susceptible de devenir un exemple important des risques croissants auxquels est confrontée la finance décentralisée.
Avertissement : Ceci n'est pas un conseil de trading ou d'investissement. Faites toujours vos propres recherches avant d'acheter une quelconque cryptomonnaie ou d'investir dans des services.
Suivez-nous sur Twitter @nulltxnews pour rester informé des dernières actualités sur les Crypto, NFT, IA, cybersécurité, informatique distribuée et le Metaverse !
Source: https://nulltx.com/wasabi-protocol-exploit-drains-5-5m-across-four-chains-as-compromised-admin-key-exposes-critical-security-flaw/
![[OPINION] Risques psychosociaux — le coût caché du travail aux Philippines](https://www.rappler.com/tachyon/2026/04/TL-psychosocial-work-apr-22-2026.jpg)
