Платформа перпетуальних контрактів Wasabi Protocol у четвер втратила близько $4,5 млн після того, як зловмисники скомпрометували адміністраторський ключ, що керував її сховищами в мережах Ethereum (ETH) та Base.
Деталі експлойту Wasabi
Порушення першим зафіксувала компанія з кібербезпеки Blockaid, яка відстежила втрати до гаманця деплойера, що мав єдину роль ADMIN_ROLE у системі дозволів Wasabi.
Зловмисник викликав grantRole у цьому контракті, передав адміністраторські права допоміжному контракту та здійснив UUPS-оновлення для perp-сховищ і LongPool. Шкідливі імплементації потім осушили баланси в обох мережах.
Серед постраждалих пулів були wWETH, sUSDC, wBITCOIN, wPEPE і Long Pool у мережі Ethereum, а також sUSDC, sBTC, sAERO та інші в мережі Base, як повідомила CertiK reported. У Wasabi не було таймлоку чи мультипідпису для адміністраторської ролі.
Також читайте: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Ризик єдиного ключа повторюється
Аналітики зазначають, що сценарій добре знайомий. Атака тісно нагадує інцидент 1 квітня з Drift Protocol, коли скомпрометований адміністраторський ключ дозволив вивести $285 млн у мережі Solana (SOL) приблизно за 12 хвилин.
За кілька тижнів потому Kelp DAO втратила $292 млн через вразливість одного верифікатора у своєму мосту LayerZero.
Лише у квітні збитки DeFi вже перевищили $605 млн щонайменше у 12 інцидентах, піднявши сумарні втрати 2026 року понад $770 млн. Менші експлойти на CoW Swap, Grinex, Resolv Labs та Volo Protocol додалися протягом того ж місяця.
Читайте далі: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965