Wasabi piraté à hauteur de 2,9 millions de dollars : clés privées d’administrateur divulguées, le contrat a été modifié en une version malveillante

Le protocole DeFi de dérivés Wasabi Protocol a subi une attaque par fuite de clé privée d’un administrateur le 30 avril en fin d’après-midi. D’après la surveillance de la société de sécurité on-chain Blockaid et de CertiK Alert, l’attaquant a d’abord accordé la permission ADMIN_ROLE à son propre contrat helper via le Deployer EOA de Wasabi, puis a, grâce au mécanisme de proxy UUPS (upgradeable), mis à niveau les perp vaults et LongPool vers des versions malveillantes, avant de retirer directement le solde de tokens détenus par le contrat en garde. CertiK estime la perte à environ 2,9 millions de dollars, l’attaque touchant deux chaînes, le réseau Ethereum principal et Base. L’official Wasabi a annoncé à 18:33 (heure de Taiwan) avoir suspendu les interactions avec le contrat.

Chemin de l’attaque : la clé privée du déployeur est compromise → ADMIN_ROLE est accordé → UUPS est mis à niveau vers un contrat malveillant

Vers 16:30 (heure de Taiwan) le 30/4, Blockaid a révélé sur X que Wasabi Protocol faisait l’objet d’une « attaque en cours par compromission de clé privée d’administrateur » (ongoing admin-key compromise exploit). La chaîne d’attaque complète se compose de trois étapes : d’abord, le portefeuille du déployeur de Wasabi (Deployer EOA) est piraté, l’attaquant récupère la clé privée de ce portefeuille ; ensuite, l’attaquant utilise ce portefeuille pour exécuter l’opération grantRole, en accordant ADMIN_ROLE à un contrat helper contrôlé par lui ; enfin, le contrat helper exploite le mécanisme de mise à niveau UUPS pour remplacer l’implémentation (implementation) des deux contrats clés, perp vaults (coffres de contrats perp) et LongPool (pool de capitaux long), par des versions malveillantes, ce qui permet à la fin à ce dernier de retirer directement le solde de tokens détenus par le contrat.

UUPS (Universal Upgradeable Proxy Standard) est un modèle de contrats intelligents upgradeables promu par OpenZeppelin : la logique de mise à niveau se trouve dans le « contrat d’implémentation » plutôt que dans la couche proxy. L’avantage est que le coût gas est plus faible et la structure des contrats plus concise ; en contrepartie, « le rôle capable d’exécuter les mises à niveau », une fois compromis, permet à un attaquant de remplacer l’intégralité du contrat par n’importe quelle logique sans passer par un processus de gouvernance ou par des mécanismes de time lock. Cet incident est précisément un exemple typique d’abus d’un mode UUPS via une fuite de clé privée d’administrateur.

CertiK estime une perte de 2,9 millions de dollars, impact sur Ethereum et Base

CertiK Alert, à 16:30 le 4/30 après-midi, a confirmé en temps réel l’événement : « l’attaquant a reçu un rôle privilégié accordé par le portefeuille de déploiement de Wasabi, ce qui montre que ce portefeuille a été compromis ». CertiK cite des données on-chain pour estimer une perte d’environ 2,9 millions de dollars. L’attaque a eu lieu sur le réseau Ethereum principal et sur Base, et les contrats clés touchés sont perp vaults et LongPool, deux gammes de produits : le premier pour la gestion en garde des garanties des positions de contrats perp, le second pour porter le pool de capitaux long.

L’ampleur de l’incident est bien moindre que la perte de 2,85 milliards de dollars subie par Drift Protocol début avril sur Solana, mais le type d’attaque est fondamentalement similaire : même combinaison de fuite de clé privée d’administrateur et d’abus d’un rôle à haut niveau de privilèges. Pour l’écosystème DeFi, la répétition de ces attaques « de type clé privée » signifie que : la justesse du code des contrats intelligents ne peut pas protéger les comptes privilégiés qui contournent les mécanismes en dehors du code.

Wasabi suspend les interactions avec le contrat, Virtuals Protocol gèle les dépôts de garanties

Le protocole Wasabi a publié à 18:33 le 30/4 sur X : « Nous avons pris connaissance du problème et nous enquêtons activement. À titre de mesure préventive, veuillez ne pas interagir avec les contrats Wasabi jusqu’à nouvel avis. » Dans son annonce, l’official n’a pas confirmé directement les détails de l’attaque décrits par Blockaid et CertiK ; elle a seulement indiqué que davantage d’informations seraient complétées.

Parmi les projets en aval les plus notables touchés, on retrouve Virtuals Protocol : l’écosystème très en vogue d’accords AI Agent sur la dernière année, où certaines fonctions de produits s’appuient sur le service de dépôts de garanties fourni par Wasabi. Virtuals s’est exprimé à 17:07 le 30/4 sur X, affirmant que sa sécurité n’a subi aucun incident : il a immédiatement gelé la fonctionnalité de dépôts de garanties prise en charge par Wasabi ; les autres transactions, retraits et actions d’agent continuent de fonctionner normalement, et l’équipe a rappelé aux utilisateurs de ne signer aucune transaction liée à Wasabi tant que l’incident n’est pas résolu.

Pour les investisseurs DeFi, l’avertissement de ce type d’événement est cohérent : lorsque des protocoles s’assemblent entre eux et utilisent des fonctions de levier ou de dérivés via des services en amont, la sécurité des clés privées de l’infrastructure de base devient un risque partagé par tous les utilisateurs en aval, indépendamment de la sécurité du protocole avec lequel on interagit directement.

Cet article « Wasabi piraté pour 2,9 millions de dollars : clé privée d’administrateur divulguée, contrat modifié en version malveillante » est apparu pour la première fois sur Chaîne News ABMedia.