Le 30 avril, le projet Wasabi a été victime d'un piratage informatique. Selon les experts de PeckShield, les pertes dépassent les 5 millions de dollars.
Alerte #PeckShield : Le protocole @wasabi_protocol a été exploité pour un préjudice de plus de 5 millions de dollars sur plusieurs blockchains, dont Ethereum, Base, Berachain et Blast. pic.twitter.com/zkWjEkZMMp
— PeckShieldAlert (@PeckShieldAlert) 30 avril 2026
Les experts de CertiK ont estimé les pertes à 5,5 millions de dollars. L'attaque a touché des actifs sur plusieurs réseaux : Ethereum, Base, Berachain et Blast.
MISE À JOUR:
Les pertes totales s'élèvent à environ 5,5 millions de dollars sur les chaînes ETH, BASE, BLAST et BERA : https://t.co/c37s3gNtwB https://t.co/Sj9gtovG5K https://t.co/E5W6LLDuen https://t.co/fUZrwM5NmK
— CertiK Alert (@CertiKAlert) 30 avril 2026
Selon Blockaid, l'attaquant a obtenu l'accès à la clé d'administration et, via un portefeuille Wasabi spécifique, a imposé sa propre version du contrat comme contrat principal. Ensuite, grâce à une mise à jour UUPS, il a remplacé la logique interne du système de stockage de la plateforme et a retiré les actifs.
Le fondateur de SlowMist, sous le pseudonyme de Cos, a mis en lumière les faiblesses des mécanismes de sécurité du protocole. Selon lui, le stockage était géré par un seul EOA sans signature multiple, verrouillage temporel ni DAO. Cette lacune permettait à un pirate de compromettre facilement la clé privée et a suscité des interrogations au sein de la communauté.
Pourquoi un seul EOA semblait-il avoir autant de contrôle sans garanties élémentaires ?
Il semblerait que votre ascension ait été fulgurante, ravagée par des influenceurs véreux comme Kook… https://t.co/sRNtM8Ai8K pic.twitter.com/rXzCSZpCD0
— ZachXBT (@zachxbt) 30 avril 2026
BlockSec a ajouté que des rôles administratifs avaient été accordés aux portefeuilles alimentés par le biais du mixeur de cryptomonnaies Tornado Cash.
Selon Cyvers, le cybercriminel a volé des WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO, VIRTUAL et les a déjà convertis en ETH, les distribuant entre plusieurs adresses.
🚨ALERTE🚨Notre système a détecté plusieurs transactions suspectes impliquant @wasabi_protocol
Une adresse financée via @TornadoCash a déployé un contrat malveillant sur #Base et #Ethereum, dérobant environ 4,5 millions de dollars répartis sur plusieurs actifs, dont $WETH, $PEPE, $MOG, $USDC… pic.twitter.com/UHTRNvqZ15
— 🚨 Alertes Cyvers 🚨 (@CyversAlerts) 30 avril 2026
L'équipe Wasabi a confirmé le piratage et a conseillé aux utilisateurs de ne pas interagir avec les contrats du protocole jusqu'à nouvel ordre.
« Nous fournirons des informations mises à jour au fur et à mesure que de nouvelles données seront disponibles », ont indiqué les développeurs.
Pour rappel, le réseau L1 ZetaChain a publié une analyse post-mortem de l'attaque informatique survenue le 27 avril. L'équipe a déclaré que la cause du piratage était une vulnérabilité dans le mécanisme de messagerie inter-chaînes.