ワサビプロトコル、管理者キー侵害により約5.5Mドル流出か

Wasabi Protocolで管理者キー侵害
関連ニュース

Wasabi Protocolで管理者キー侵害

ブロックチェーンセキュリティ企業ブロックエイド（Blockaid）が、分散型金融（DeFi）プロトコル「ワサビプロトコル（Wasabi Protocol）」において管理者キーの侵害により資金が流出した事象を4月30日に報告した。

同日、ブロックチェーンセキュリティ企業サーティック（CertiK）も同事象について報告した。サーティックによると、被害額はイーサリアム（Ethereum）、ベース（Base）、ブラスト（Blast）、ベラチェーン（Berachain）を含む複数チェーンで約550万ドル（約8.7億円）規模に上るという。

またブロックエイドによると、今回の事象ではワサビの管理者キーが第三者に奪われたという。攻撃者はその鍵を使い、自身のアドレスを新たな管理者として追加したとのこと。ブロックエイドはこれにより、プロトコルの重要な設定を変更できる状態になったと説明している。

その後、攻撃者は資金を管理するボールトやプールの中身を、自身が資金を引き出せる内容に書き換え、権限を用いた不正操作により資金を外部へ移動させたとのこと。

ブロックエイドは、今回影響を受けたボールトで発行されたLPトークンについて「侵害されたもの」として扱うべきだと説明している。これらのトークンは、ユーザーが資金を預けた際に受け取る引き換え証のようなもので、通常はこれを返すことで預けた資産を引き出せる。

同社によると、今回の事象ではこれらのトークンの裏付けとなる資産がすでに引き出されているか、管理者キーが有効な限り流出するリスクがあるという。

そのため、ユーザーのウォレット上では価格が表示されるものの、実際に交換できる価値は0、またはそれに近い状態になっていると説明されている。

またサーティックによると、資金流出後、侵害されたキーは別のアドレスに管理者権限を付与した。その後、その新たなアドレスが元の管理者に付与されていたすべての権限を削除したとのことだ。

このため同社は、現在は当初侵害されたキーではワサビを操作できない状態になっていると説明している。また同社は、この攻撃経路による追加の資金流出は困難だとしている。

このような状況から、スマートコントラクトのコード上の不具合ではなく、管理権限の設計に起因する可能性が複数の分析で指摘されている。単一の外部所有アカウント（EOA）が広範な管理権限を持ち、マルチシグやタイムロックといった制御が導入されていなかった点が背景にあるとされる。

この点については、オンチェーン調査で知られるザックXBT（ZachXBT）氏も、自身のXアカウントで、単一の外部所有アカウント（EOA）が基本的なセーフガードなしに広範な制御権を持っていた点に疑問を呈している。

なお、ワサビプロトコルの公式Xアカウントで4月30日、問題を認識しており、現在調査を進めていることが発表された。同プロトコルは予防措置として、当面の間、コントラクトとやり取りしないようユーザーに呼びかけている。

また同プロトコルチームは、シール911（SEAL_911）やブロックエイドを含むセキュリティチームと連携して対応していると説明した。同プロトコルは、法執行機関およびFBIにも連絡済みとしている。

同プロトコルチームは、詳細が判明次第、追加の情報を共有するとしている。

We’re aware of an issue and are actively investigating.

As a precaution, please do not interact with Wasabi contracts until further notice.

We’ll share an update as soon as we have more information. Thanks for your patience.
— Wasabi Protocol (@wasabi_protocol) April 30, 2026

Why did a single EOA seemingly have so much control without basic safeguards?

Seems your runway was burned on KOL grifters like Kook…. https://t.co/sRNtM8Ai8K pic.twitter.com/rXzCSZpCD0
— ZachXBT (@zachxbt) April 30, 2026