管理権限の乗っ取りにより複数ネットワークで資金が流出
Wasabi Protocol(ワサビプロトコル)は2026年4月末、大規模な不正流出被害に見舞われた。
We're aware of an issue and are actively investigating.
As a precaution, please do not interact with Wasabi contracts until further notice.
We'll share an update as soon as we have more information. Thanks for your patience.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026
現在、問題が発生していることを認識しており、調査を進めております。
念のため、追ってご連絡があるまで、Wasabiの契約に関する操作はお控えください。
詳細が分かり次第、改めてご報告いたします。ご理解とご協力をお願いいたします。
イーサリアム(Ethereum)、ベース(Base)、ベラチェーン(Berachain)、ブラスト(Blast)といった複数チェーンにまたがり、500万ドル(約7.8億円)以上の資産が流出したことが確認されている。セキュリティ企業の分析により、今回の攻撃は管理者キーの侵害を起点としていたことが明らかになった。
単一の管理者キーが侵害され資金が流出
Wasabi Protocolは取引や融資機能を提供するDeFi(分散型金融)プラットフォームであり、NFT(非代替性トークン)やミームトークンなどのロングテール資産にも対応している。複数チェーンで展開されている構造が、今回の攻撃では被害の拡大につながった。
攻撃者はデプロイヤーウォレット(Deployer Wallet、※ブロックチェーン上でスマートコントラクト(プログラム)をデプロイ=配備・発行し、管理する権限を有するウォレットアドレス)に紐づく管理者キーを入手し、ADMIN_ROLE権限(管理者ロール、※スマートコントラクトのアクセス制御における最上位管理者権限)を取得した。その後、ボールト(vaults、※管理型ファンド構造)やLongPoolなどのコントラクトを悪意ある実装へとアップグレードし、資産を引き出した。単一の外部所有アカウントが管理権限を保持していたことが、侵害の直接的な要因とされている。
流出した資産は複数におよび、EthereumではUSDCやWETH、REKT、PEPEなど、BaseではWETHやUSDC、cbBTC、BlastではWETHやUSDB、BerachainではWBERAやHONEYなどが影響を受けた。資金はその後Ethereumにブリッジされて統合され、一部はミキシングサービスのトルネードキャッシュ(Tornado Cash)へ送られている。
また、侵害されたボルトに関連するLPトークンは価値を失い、実質的に償還不能となった。Wasabi Protocolは発覚後、すべてのスマートコントラクトとのやり取りを停止するようユーザーに呼びかけている。
相次ぐ攻撃の中で浮き彫りになる構造的リスク
今回の攻撃は、同時期に発生した複数のDeFiインシデントと近いタイミングで起きている。
4月は25件以上の事例で総額6億ドル(約941.8億円)以上の損失が確認されており、小規模プロトコルも例外ではない状況が続いている。
分析では、今回の直接的な原因はスマートコントラクトの不具合ではなく、管理者キーに依存した運用体制にあると指摘されている。マルチシグやタイムロックを伴わない単一キーの管理は、攻撃者にとって明確な侵入口となる。一部では、標的選定に関する傾向や攻撃の連続性を踏まえ、AI(人工知能)の関与を指摘する見方も出ている。ただし現時点で確認されているのは管理権限の侵害による資金流出であり、原因は単一障害点に集約されている。
今回の事例は、仮想通貨分野における管理権限の設計と運用体制の見直しを改めて迫るものとなった。
