Platforma perpetuali Wasabi Protocol straciła w czwartek około 4,5 mln dolarów po tym, jak atakujący przejęli klucz administratora kontrolujący jej kontrakty skarbcowe na Ethereum (ETH) oraz Base.
Szczegóły exploitu Wasabi
Naruszenie jako pierwszy zasygnalizował zespół bezpieczeństwa Blockaid, który powiązał straty z portfelem deployera posiadającym jedyną rolę ADMIN_ROLE w systemie uprawnień Wasabi.
Atakujący wywołał funkcję grantRole na tym kontrakcie, przekazał prawa administratora do kontraktu pomocniczego i przeprowadził upgrade UUPS na skarbcach perp i LongPool. Złośliwe implementacje następnie wyczyściły salda na obu łańcuchach.
Dotknięte pule obejmowały skarbce wWETH, sUSDC, wBITCOIN, wPEPE i Long Pool na Ethereum, a także sUSDC, sBTC, sAERO i inne na Base, jak poinformował CertiK. Wasabi nie stosowało timelocka ani multisiga dla roli administratora.
Also Read: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Ryzyko pojedynczego klucza znów się powtarza
Analitycy wskazują, że schemat jest dobrze znany. Atak ściśle przypomina naruszenie z 1 kwietnia w Drift Protocol, gdzie przejęty klucz administratora pozwolił wyprowadzić 285 mln dolarów na Solanie (SOL) w około 12 minut.
Kilka tygodni później Kelp DAO stracił 292 mln dolarów przez lukę z pojedynczym weryfikatorem w swoim mostku LayerZero.
Sam kwiecień przyniósł już ponad 605 mln dolarów strat w DeFi w co najmniej 12 incydentach, podnosząc łączny wynik 2026 roku powyżej 770 mln dolarów. W tym samym miesiącu nałożyły się też mniejsze naruszenia w CoW Swap, Grinex, Resolv Labs i Volo Protocol.
Read Next: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965