永久先物プラットフォーム Wasabi Protocol は、Ethereum (ETH) と Base のボールトコントラクトを制御する管理者キーが攻撃者に侵害され、木曜日に約450万ドルを失った。
Wasabi 攻撃の詳細
この侵害は、セキュリティ企業 Blockaid によって最初に検知され、Wasabi の権限システムで唯一の ADMIN_ROLE を保有していたデプロイヤーウォレットに損失が紐づけられた。
攻撃者はそのコントラクトで grantRole を呼び出して管理者権限をヘルパーコントラクトへ渡し、そのうえで perp ボールトと LongPool に対して UUPS アップグレードを実行した。悪意ある実装が導入され、両チェーンにわたって残高が吸い上げられた。
影響を受けたプールには、Ethereum 上の wWETH、sUSDC、wBITCOIN、wPEPE および Long Pool ボールトのほか、Base 上の sUSDC、sBTC、sAERO などが含まれていたと CertiK は報告している。Wasabi には、この管理者権限に対するタイムロックやマルチシグは存在しなかった。
関連記事: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
単一キーリスクの再燃
アナリストによれば、この手口はおなじみのものだという。今回の攻撃は、侵害された管理者キーにより Solana (SOL) 上で約12分間で2億8500万ドルが流出した4月1日の Drift Protocol 侵害と非常によく似ている。
その数週間後には、LayerZero ブリッジの単一バリデータの欠陥により、Kelp DAO が2億9200万ドルを失う事案も発生した。
4月だけで少なくとも12件のインシデントにより、DeFi の損失額は6億500万ドル超となり、2026年累計はすでに7億7000万ドルを上回っている。CoW Swap、Grinex、Resolv Labs、Volo Protocol などでの比較的小規模な侵害も、同じ月に相次いで発生した。
次に読む: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965