La piattaforma di perpetual Wasabi Protocol ha perso circa 4,5 milioni di dollari giovedì, dopo che degli aggressori hanno compromesso una chiave di amministrazione che controllava i contratti dei vault su Ethereum (ETH) e Base.
Dettagli dell'exploit di Wasabi
La violazione è stata inizialmente segnalata dalla società di sicurezza Blockaid, che ha ricondotto la perdita a un wallet del deployer che deteneva l’unico ADMIN_ROLE nel sistema di permessi di Wasabi.
L’attaccante ha chiamato grantRole su quel contratto, ha assegnato i diritti di amministratore a un contratto helper e ha eseguito un upgrade UUPS sui vault perps e su LongPool. Implementazioni malevole hanno quindi svuotato i saldi su entrambe le chain.
I pool colpiti includevano i vault wWETH, sUSDC, wBITCOIN, wPEPE e Long Pool su Ethereum, insieme a sUSDC, sBTC, sAERO e altri su Base, ha riportato CertiK. Wasabi non prevedeva alcun timelock o multisig per il ruolo di admin.
Da leggere anche: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Il rischio della singola chiave si ripete
Gli analisti affermano che lo schema è ormai noto. L’attacco richiama da vicino la violazione del 1° aprile a Drift Protocol, in cui una chiave admin compromessa ha prosciugato 285 milioni di dollari su Solana (SOL) in circa 12 minuti.
Poche settimane dopo, Kelp DAO ha perso 292 milioni di dollari a causa di un difetto di single verifier nel suo bridge LayerZero.
Il solo mese di aprile ha ora prodotto oltre 605 milioni di dollari di perdite DeFi attraverso almeno 12 incidenti, portando il totale del 2026 oltre i 770 milioni. Nello stesso mese si sono aggiunte anche violazioni più piccole a CoW Swap, Grinex, Resolv Labs e Volo Protocol.
Leggi anche: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965