Wasabi Protocol terkena exploit lebih dari US$5 juta di beberapa jaringan sekaligus, termasuk Ethereum, Base, Berachain, dan Blast. Titik serangnya tidak berasal dari bug smart contract biasa, tetapi dari admin key yang berhasil dikompromikan lalu dipakai untuk mengambil akses istimewa ke sistem inti protokol.
Akses itu membuka jalan bagi penyerang untuk meng-upgrade kontrak inti ke implementasi berbahaya dan menguras dana dari vault serta pool utama. Wallet deployer Wasabi menjadi jalur masuk utama, lalu serangan bergerak cepat ke beberapa chain dalam waktu yang berdekatan.
Akar Masalahnya Ada pada Kontrol Akses
Jejak awal serangan mengarah ke kegagalan operasional, bukan kerentanan kode murni. Admin key yang aktif memberi penyerang kemampuan untuk memberikan ADMIN_ROLE, menjalankan upgrade UUPS pada vault, dan menguras aset yang berada di dalam sistem.
Risikonya membesar karena sistem akses tersebut tidak memberi jendela waktu yang cukup untuk mendeteksi perubahan berbahaya. Analisis awal juga menyebut delay pada framework access control disetel ke nol, sehingga perubahan admin bisa langsung dipakai tanpa timelock yang memberi ruang respons.
Aset yang terdampak mencakup beberapa token sekaligus, seperti WETH, PEPE, MOG, USDC, cbBTC, AERO, dan VIRTUAL. Dana hasil curian kemudian dikonsolidasikan ke ETH, dipindahkan ke Ethereum, lalu disebar ke beberapa alamat berbeda.
Efeknya Menyebar ke Token LP dan Mitra Ekosistem
Seluruh token LP-share Wasabi dan Spicy yang dicetak dari vault terdampak kini diperlakukan sebagai compromised. Nilai penebusannya ikut dipertanyakan karena aset dasar yang menopangnya sudah terkuras atau masih berisiko selama deployer key tersebut belum benar-benar dinonaktifkan.
Langkah pencegahan juga langsung muncul dari pihak lain yang terhubung ke infrastruktur Wasabi. Margin deposits yang memakai Wasabi dibekukan sebagai langkah berjaga-jaga, sementara pihak yang terkait menegaskan bahwa sistem mereka sendiri tidak ikut diretas.
tidak berinteraksi dengan kontrak Wasabi sampai ada pemberitahuan lanjutan. Sampai laporan awal beredar, investigasi masih berlangsung dan post-mortem lengkap belum dipublikasikan.
April Jadi Bulan Berat untuk DeFi
Kasus Wasabi menutup salah satu bulan terburuk bagi DeFi sepanjang 2026. Rangkaian exploit selama April sudah menembus lebih dari US$600 juta, dipimpin oleh kasus Kelp DAO senilai sekitar US$292 juta, lalu disusul sederet insiden lain yang kembali menyorot titik lemah pada admin privilege, bridge, dan kontrol operasional protokol.
Tekanan terbesarnya sekarang bukan cuma pada jumlah dana yang hilang, tetapi pada arsitektur keamanan yang masih membiarkan satu private key menjadi titik kegagalan tunggal untuk protokol multi-chain bernilai puluhan juta dolar. Insiden ini membuat pertanyaan lama muncul lagi: di 2026, multisig, timelock, dan pemisahan hak akses bukan lagi fitur tambahan, tetapi syarat dasar untuk bertahan.
Disclaimer: Artikel ini disusun untuk tujuan informasi dan edukasi. Isi artikel bukan merupakan nasihat keuangan, investasi, hukum, atau rekomendasi transaksi. Selalu lakukan riset mandiri dan pahami risiko sebelum mengambil keputusan.
Nikmati token paling trending, airdrop setiap hari, biaya yang sangat rendah, dan likuiditas yang komprehensif
Daftar