Wasabi Protocol padł ofiarą przejęcia klucza administratora, co doprowadziło do wypłaty ponad 5 mln USD z jego skarbców perpetuals i LongPool na Ethereum, Base, Berachain oraz Blast – poinformowały firmy zajmujące się bezpieczeństwem on-chain Blockaid i PeckShield.
Atakujący zdobył ADMIN_ROLE poprzez portfel deployera protokołu, a następnie zaktualizował skarbce do złośliwej wersji, która opróżniła salda użytkowników. Ostatnie wyliczenia wskazują na wyprowadzonych około 4,55 mln USD. Dochodzenie nadal trwa.
Awaria pojedynczego klucza przyczyną włamania
Blockaid wskazał źródło ataku na wasabideployer.eth, jedyny adres posiadający ADMIN_ROLE w Wasabi PerpManager AccessManager.
Atakujący użył grantRole na deployer EOA bez żadnego opóźnienia, przez co natychmiast nadał swojemu kontraktowi orchestrator uprawnienia administratora.
“Jesteśmy świadomi problemu i aktywnie prowadzimy śledztwo. W ramach ostrożności prosimy, by nie wchodzić w interakcje z kontraktami Wasabi do odwołania.”
Następnie atakujący wykonali uaktualnienie UUPS skarbców perpetual oraz LongPool do złośliwej wersji, która wyprowadziła środki.
Klucz deployera pozostaje aktywny. Tokeny Wasabi oraz Spicy LP-share z zainfekowanych skarbców są oznaczone jako zagrożone, a ich wartość wykupu zbliża się do zera.
Blockaid zaznaczył, że ten sam atakujący, orchestrator oraz kod strategii powiązany był z wcześniejszymi próbami ataku na Wasabi.
Ten schemat przypomina wcześniejsze przypadki przejęcia admin-klucza i ukazuje, jak jednoosobowa rola administratora (EOA) bez timelocka lub multisiga ułatwia ataki. PeckShield oszacował łączne straty na ponad 5 mln USD w czterech dotkniętych sieciach.
Teoria AI-hackera zyskuje na popularności
Do ataku doszło zaledwie kilka godzin po trzech innych incydentach między wtorkiem a środą. BeInCrypto opisało wtorkowy ciąg ataków, obejmujący:
- Opróżnienie poola Sweat Economy na 3,46 mln USD, które okazało się jednak akcją ratunkową fundacji, a nie włamaniem.
- Mostek Syndicate Commons na Base stracił 18,5 mln tokenów SYND o wartości od 330 000 USD do 400 000 USD. Środki przetransferowano na Ethereum.
- Aftermath Finance zawiesił protokół perpetuals po utracie około 1,14 mln USDC.
W tej sytuacji analitycy coraz częściej podnoszą temat zagrożeń AI, podkreślając przewagę atakującego i słabość zabezpieczeń protokołów.
W tym kontekście deweloper Vitto Rivabella wysunął teorię, że Korea Północna wyszkoliła własną AI na latach skradzionych danych DeFi.
Rivabella sugeruje, że model ten działa już jako autonomiczny exploiter i drenuje protokoły szybciej, niż ludzcy analitycy są w stanie reagować.
“Szalone teoria spiskowa o ostatnich włamaniach do DeFi: Korea Północna wytrenowała własną, finansowaną przez państwo wersję Mythos, używając ogromnych ilości danych zdobytych przez 10 lat hakowania protokołów DeFi. Teraz po prostu puszczają swoje AI DeFi-hackera luzem i będą wyciągać kasę, dopóki ktoś ich nie powstrzyma.”
Niezależnie od tego, czy AI stoi za ostatnimi atakami, jeden klucz administratora nadal daje hakerom prostą furtkę.
