¡Alerta! El Wasabi Protocol pierde $4.5 millones tras hackeo épico de la llave maestra

La neta, DeFi no para de perder lana, y Wasabi Protocol se rifó siendo la próxima víctima. Este protocolo para trading de perpetuos, que funciona en Ethereum y Base, perdió como $4.55 millones el jueves porque unos hackers se clavaron la llave del deployer, o sea, la llave maestra, según dijo la firma de seguridad Blockaid en un tuit.

Este golpe es parte de un mes bien pesado: en abril, nomás, se perdieron más de $605 millones en varios hackeos, al menos 12 en total. La jugada de Wasabi se parece mucho al ataque que le hicieron a Drift Protocol el 1 de abril, donde unos hackers vinculados a Corea del Norte se agandallaron $285 millones usando con la llave de admin comprometida en esa plataforma de Solana.

La bronca empezó gracias a una cuenta que se llama wasabideployer.eth, que era la única con el rol de ADMIN en el sistema de permisos de Wasabi. Esta cuenta no es un contrato inteligente; es una wallet normal que se controla con una llave privada. Y el que tenga esa llave puede hacer lo que quiera con la wallet. Cuando los hackers agarraron la llave, se pusieron admin en un dos por tres usando el comando para dar permisos en el contrato.

Después, con ayuda de otro contrato, actualizaron los vaults de Wasabi – que son como las cajas fuertes del protocolo – y el Long Pool para meterle código malicioso y vaciar todas las cuentas, explicó Blockaid.

El hackeo se hizo posible porque Wasabi usaba un estándar llamado UUPS (Universal Upgradeable Proxy Standard). Este estándar permite cambiar el código del contrato sin mover la dirección, lo que es práctico para arreglar bugs al vuelo. Pero aquí está el problema: si un hacker tiene permisos de admin, puede cambiar el código para hacer cualquier mamada, como robar todo el dinero.

Además, Wasabi no tenía nada para proteger la llave de admin: ni timelock (que es un retraso para que los usuarios puedan reaccionar si hacen cambios) ni multisig (que necesita varios firmantes para aprobar algo). O sea, con una sola llave se podían hacer desmadres, y pues ya sabemos qué pasó.

Los contratos afectados incluyen varias vaults de tokens como wWETH, sUSDC, wBITCOIN, wPEPE, y el Long Pool en Ethereum; también en Base sufrieron con vaults de sUSDC, wWETH, sBTC, sVIRTUAL, sAERO y sBRETT, reportó Blockaid. A los que tienen tokens LP de Wasabi les recomendaron revocar los permisos que tengan activos para evitar que les saquen la lana porque los fondos están en peligro o ya fueron drenados.

Este mes ha sido una machaca de exploits: primero Drift sin timelock ni multisig, donde metieron un token falso como garantía para sacar lana real en menos de 12 minutos. Luego Kelp DAO perdió $292 millones porque alguien explotó un puente en su sistema y usó tokens sin respaldo para pedir prestado ETH real. En total, en 2026 ya se perdieron más de $770 millones en más de 30 ataques, y abril es el mes con la mayoría de esos golpes.

También hubo otros hackeos más chiquitos pero no menos fregones: CoW Swap perdió $1.2 millones, Grinex $13.74 millones, Resolv Labs $23 millones, Volo Protocol $3.5 millones y varios más.

Lo triste de todo esto es que no descubrieron una falla nueva. Cada vez que pasa, salen con el mismo rollo de “aprendimos la lección”, pero nomás se quedan en palabras y la próxima vez vuelve a pasar lo mismo. Como que DeFi está en modo “déjà vu” de horror.

Hasta el momento, Wasabi no ha dicho nada oficialmente sobre lo que pasó. Seguiremos pendientes para ver cómo se avientan la respuesta.