Nền tảng perpetuals Wasabi Protocol đã mất khoảng 4,5 triệu đô la vào thứ Năm sau khi kẻ tấn công chiếm được khóa quản trị kiểm soát các hợp đồng vault trên Ethereum (ETH) và Base.
Chi tiết vụ khai thác Wasabi
Vụ vi phạm lần đầu được phát hiện bởi công ty bảo mật Blockaid, đơn vị đã truy vết khoản thất thoát về một ví triển khai (deployer) nắm giữ ADMIN_ROLE duy nhất trong hệ thống phân quyền của Wasabi.
Kẻ tấn công gọi hàm grantRole trên hợp đồng đó, trao quyền admin cho một hợp đồng phụ trợ, rồi thực hiện nâng cấp UUPS trên các perp vault và LongPool. Các bản triển khai độc hại sau đó đã rút sạch số dư trên cả hai chuỗi.
Các pool bị ảnh hưởng gồm có wWETH, sUSDC, wBITCOIN, wPEPE và các vault Long Pool trên Ethereum, cùng với sUSDC, sBTC, sAERO và những tài sản khác trên Base, theo báo cáo của CertiK reported. Wasabi không sử dụng timelock hay multisig cho vai trò admin.
Cũng nên đọc: Standard Chartered Says DeFi's $300M Rescue After KelpDAO Hack Could Become Its 'Antifragile Moment'
Rủi ro “một khóa” lặp lại
Các nhà phân tích cho rằng kịch bản này đã trở nên quen thuộc. Vụ tấn công bám rất sát vụ vi phạm ngày 1/4 tại Drift Protocol, nơi một khóa quản trị bị xâm phạm đã rút 285 triệu đô trên Solana (SOL) chỉ trong khoảng 12 phút.
Vài tuần sau, Kelp DAO mất 292 triệu đô vì lỗ hổng “trình xác thực đơn” trong cầu nối LayerZero của mình.
Riêng tháng 4 đã chứng kiến hơn 605 triệu đô la thiệt hại DeFi qua ít nhất 12 vụ việc, đưa tổng thiệt hại năm 2026 vượt 770 triệu đô. Các vụ vi phạm nhỏ hơn tại CoW Swap, Grinex, Resolv Labs và Volo Protocol cũng đã góp phần gia tăng con số này trong cùng tháng.
Đọc tiếp: Ultima Token Posts $11.4M Daily Volume As Price Holds Near $2,965