O protocolo Wasabi sofreu um ataque crítico que resultou na perda de cerca de US$ 5,5 milhões após o comprometimento de uma chave administrativa com privilégios elevados.

O Wasabi Protocol enfrentou uma falha grave de segurança em 30 de abril de 2026. Na ocasião, um invasor acessou uma carteira com privilégios administrativos e drenou fundos em múltiplas redes blockchain. Assim, o ataque se espalhou rapidamente por Ethereum, Base, Berachain e Blast, ampliando o impacto no ecossistema DeFi.

Empresas de segurança como Blockaid, CertiK e PeckShield identificaram a atividade suspeita poucas horas após o início. Além disso, o próprio protocolo confirmou o incidente ainda pela manhã e orientou usuários a interromper qualquer interação com contratos inteligentes. Nesse sentido, o mercado de criptomoedas reagiu com cautela.

Origem da falha no Wasabi

Diferentemente de ataques baseados em falhas de código, o invasor assumiu o controle da carteira wasabideployer.eth, que detinha permissões administrativas críticas. Portanto, o problema decorreu de um ponto centralizado de controle.

Segundo a Blockaid, a carteira comprometida concedeu permissões ADMIN_ROLE a um contrato malicioso. A partir disso, o invasor atualizou cofres de futuros perpétuos e um LongPool. Dessa forma, conseguiu retirar fundos diretamente, sem barreiras adicionais.

Os dados indicam que cerca de US$ 2,2 milhões foram drenados da rede Ethereum, incluindo ativos como WETH, USDC e memecoins. Ao mesmo tempo, aproximadamente US$ 2,4 milhões saíram da rede Base. Embora a PeckShield aponte perdas superiores a US$ 5 milhões, estimativas consolidadas indicam cerca de US$ 5,5 milhões comprometidos.

Posteriormente, os valores foram distribuídos em diversos endereços, o que dificulta o rastreamento imediato e reduz as chances de recuperação rápida.

Distribuição dos prejuízos

Na rede Ethereum, nove cofres foram afetados, incluindo wWETH, sUSDC, sREKT, wPEPE, wMog, wBITCOIN, sZYN e o LongPool. Já na Base, oito contratos sofreram impacto, entre eles sUSDC, wWETH, sBTC, sVIRTUAL e sAERO.

Além disso, a diversidade de ativos atingidos evidencia a amplitude do ataque. Como resultado, usuários expostos a diferentes produtos enfrentaram riscos simultâneos.

Tokens LP entram em zona de risco

A Blockaid alertou que todos os tokens LP vinculados aos cofres afetados devem ser considerados comprometidos, incluindo ativos do Wasabi e do Spicy. Em outras palavras, os fundos subjacentes já foram retirados ou permanecem sob risco.

Assim sendo, plataformas passaram a sinalizar esses tokens como inseguros. Do mesmo modo, usuários com permissões ativas devem revogar acessos imediatamente, a fim de reduzir danos adicionais.

A fundação Berachain confirmou o incidente e adotou medidas emergenciais. Entre elas, suspendeu e colocou em lista negra cofres de recompensas ligados ao Wasabi, além de interromper a emissão de tokens BGT para contratos comprometidos.

Usuários que interagiram com o protocolo na Berachain receberam orientação para revogar permissões por meio do serviço revoke.cash.

Resposta e contenção

As ações adotadas visam conter a propagação do problema. Ainda assim, especialistas ressaltam que a resposta rápida não elimina os prejuízos já registrados. Nesse meio tempo, o foco se divide entre mitigação e investigação.

Falha estrutural expõe riscos no DeFi

Especialistas apontam que a raiz do problema está na concentração de controle. Uma única carteira externa possuía permissões totais dentro do sistema, sem mecanismos como multisig, timelock ou governança descentralizada.

Segundo o fundador da SlowMist, uma vez comprometida a chave privada, não havia barreiras técnicas para impedir o acesso total aos cofres. Investigadores on-chain também criticaram a ausência de práticas básicas de segurança.

Além disso, contratos atualizáveis combinados com acesso privilegiado elevam o risco sistêmico. Por conseguinte, o caso reforça preocupações recorrentes sobre centralização em protocolos DeFi.

A Berachain informou que colabora com Blockaid e ZeroShadow na investigação. À medida que as análises avançam, novas informações devem surgir. Em conclusão, o ataque ao Wasabi evidencia como o comprometimento de uma única chave administrativa pode viabilizar perdas milionárias em múltiplas redes.