Платформа бессрочных контрактов Wasabi Protocol в четверг потеряла около $4,5 млн после того, как злоумышленники скомпрометировали админ‑ключ, управляющий её хранилищами в сетях Ethereum (ETH) и Base.
Подробности взлома Wasabi
Первой о взломе сообщила фирма по кибербезопасности Blockaid, проследив убытки до кошелька деплойера, который имел единственную роль ADMIN_ROLE в системе прав Wasabi.
Атакующий вызвал функцию grantRole в этом контракте, передал админские права вспомогательному контракту и выполнил UUPS‑обновление для perp‑хранилищ и LongPool. Злоумышленные реализации затем вывели балансы в обеих сетях.
Под удар попали пулы wWETH, sUSDC, wBITCOIN, wPEPE и хранилища Long Pool в сети Ethereum, а также sUSDC, sBTC, sAERO и другие в сети Base, сообщила CertiK в своём отчёте. В Wasabi не было ни timelock, ни мультисиг‑контроля над админ‑ролями.
Также читайте: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Риск единственного ключа повторяется
Аналитики отмечают, что сценарий знакомый. Атака во многом повторяет взлом 1 апреля на Drift Protocol, когда скомпрометированный админ‑ключ позволил вывести $285 млн в сети Solana (SOL) примерно за 12 минут.
Спустя несколько недель Kelp DAO потерял $292 млн из‑за уязвимости одного проверяющего в мосту LayerZero.
Один только апрель уже принёс более $605 млн потерь в DeFi как минимум в 12 инцидентах, увеличив совокупные убытки 2026 года до более чем $770 млн. Меньшие по масштабу взломы CoW Swap, Grinex, Resolv Labs и Volo Protocol также пришлись на этот же месяц.
Читайте далее: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965