¡Alerta roja en DeFi! Hackean Wasabi y se llevan más de 5 millones de dólares en un suspiro

El equipo de Wasabi, un protocolo de finanzas descentralizadas (DeFi), confirmó que hoy 30 de abril los chingazos llegaron fuerte: su plataforma fue hackeada. En un mensaje dijeron: “Ya nos dimos cuenta del rollo y estamos moviéndonos para entender qué pasó. Porfa, no hagan nada con los contratos de Wasabi hasta nuevo aviso”.

No soltaron muchos detalles, pero las firmas de seguridad PeckShield, Blockaid, CertiK y BlockSec reportaron que el atacante sacó hasta 5.5 millones de dólares de las redes Ethereum, Base, Berachain y Blast.

Lo que pasó fue que el hacker logró agarrar la llave maestra del protocolo: la wallet principal con permisos de administrador. Con esa clave, se puso el rol de jefe, cambió los contratos que guardan la lana de los usuarios y puso un código maldito que mandó todo ese dinero a sus propias cuentas. No está claro cómo le hicieron para sacar esa contraseña.

Vadim, un dev que le entra al tema en X, dijo que el contrato de Wasabi sí funcionó como se tenía que usar y que el problema no fue un bug, sino una bronca de diseño. Resulta que todo el poder estaba en una sola wallet, sin que hubiera que pedir permiso a más gente ni esperar para hacer cambios importantes. Entonces, cualquiera que tuviera esa llave podía hacer lo que quisiera al instante.

¿Cómo se fregaron los usuarios de Wasabi?

Pues la cosa es así: la plataforma dejaba meter lana en bóvedas de liquidez para sacar ganancias. A cambio, te daban tokens LP (como un recibo digital que dice “esta es tu parte”). El atacante vació esas bóvedas al agarrar el control administrativo. Los tokens LP que tienes en tu wallet todavía se ven, pero en realidad ya no valen nada porque la lana que los respaldaba se la llevó el hacker.

Después del desmadre, Vadim dijo que ya lograron quitarle los permisos al atacante, así que no debería haber un segundo robo igual, pero los billetes robados siguen bien guardaditos en las wallets del ladrón.

Por último, los de Berachain advirtieron: “Si tienes lana en Wasabi, sáquela ya”. Y los de Blockaid recomiendan que canceles cualquier permiso que le hayas dado a los contratos de Wasabi para que el hacker no pueda robar más.

Estén pilas y no la suelten tan fácil con sus criptos, banda.