Platform perpetual Wasabi Protocol kehilangan sekitar $4,5 juta pada Kamis setelah penyerang mengompromikan kunci admin yang mengendalikan kontrak brankas Ethereum (ETH) dan Base.
Rincian Eksploitasi Wasabi
Pelanggaran ini pertama kali ditandai oleh firma keamanan Blockaid, yang menelusuri kerugian tersebut ke dompet deployer yang memegang satu-satunya ADMIN_ROLE dalam sistem izin Wasabi.
Penyerang memanggil grantRole pada kontrak itu, memberikan hak admin ke kontrak pembantu, lalu mendorong upgrade UUPS pada brankas perp dan LongPool. Implementasi berbahaya kemudian menguras saldo di kedua chain.
Pool yang terdampak mencakup brankas wWETH, sUSDC, wBITCOIN, wPEPE dan Long Pool di Ethereum, serta sUSDC, sBTC, sAERO dan lainnya di Base, menurut laporan CertiK reported. Wasabi tidak memiliki timelock atau multisig atas peran admin.
Also Read: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Risiko Kunci Tunggal Terulang
Analis mengatakan pola ini sudah dikenal. Serangan ini sangat mirip dengan April 1 breach at Drift Protocol, ketika kunci admin yang dikompromikan menguras $285 juta di Solana (SOL) hanya dalam sekitar 12 menit.
Beberapa minggu kemudian, Kelp DAO lost $292 million through a single-verifier flaw di jembatan LayerZero miliknya.
Hanya di bulan April saja sudah terjadi lebih dari $605 juta kerugian DeFi dalam setidaknya 12 insiden, mendorong total 2026 melampaui $770 juta. Pelanggaran yang lebih kecil di CoW Swap, Grinex, Resolv Labs dan Volo Protocol turut menambah kerugian pada bulan yang sama.
Read Next: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965