무기한 선물 플랫폼 **와사비 프로토콜(Wasabi Protocol)**은 목요일, 이더리움(Ethereum) (ETH)과 베이스(Base) 금고 컨트랙트를 관리하던 관리자 키가 공격자에게 탈취되면서 약 450만 달러를 잃었다.
와사비 공격 세부 내용
이번 침해 사실은 보안 업체 Blockaid가 가장 먼저 포착했으며, 와사비 권한 시스템에서 유일한 ADMIN_ROLE을 보유한 디플로이어 지갑으로 손실이 이어졌다는 점을 추적해냈다.
공격자는 해당 컨트랙트에서 grantRole을 호출해 헬퍼 컨트랙트에 관리자 권한을 부여했고, 그 뒤 퍼프 금고와 LongPool에 대해 UUPS 업그레이드를 강제 실행했다. 이어 악성 구현 코드를 배포해 두 체인 전반의 잔액을 모두 빼냈다.
피해를 본 풀에는 이더리움 상의 wWETH, sUSDC, wBITCOIN, wPEPE 및 Long Pool 금고와 함께, 베이스 체인 상의 sUSDC, sBTC, sAERO 등 여러 풀이 포함됐다고 CertiK이 보고했다. 와사비는 관리자 역할에 대해 타임락이나 멀티시그를 전혀 두지 않고 있었다.
참고 기사: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
단일 키 리스크의 반복
분석가들은 이번 공격 시나리오가 익숙한 패턴이라고 지적한다. 이번 공격은 4월 1일 발생한 Drift Protocol 해킹과 매우 유사한데, 당시에도 탈취된 관리자 키로 인해 솔라나(Solana) (SOL)에서 약 12분 만에 2억 8,500만 달러가 유출됐다.
몇 주 뒤에는 LayerZero 브리지의 단일 검증자 취약점을 통해 Kelp DAO에서 2억 9,200만 달러가 유출되기도 했다.
4월 한 달 동안만 최소 12건의 사고로 디파이에서 6억 500만 달러 이상이 유출되면서, 2026년 누적 피해액은 이미 7억 7,000만 달러를 넘어섰다. 같은 달에 발생한 CoW Swap, Grinex, Resolv Labs, Volo Protocol 등의 소규모 침해 사건들도 피해 규모를 키우는 데 한몫했다.
다음 읽기: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965