getblock.net
Главное:
- Wasabi Protocol потерял более $5 млн.
- Атака произошла из-за компрометации административного ключа.
- У протокола не было базовых механизмов защиты доступа.
DeFi-протокол Wasabi Protocol подвергся атаке, в результате которой было выведено более $5 млн. По данным аналитиков, инцидент затронул сразу несколько сетей, включая Ethereum, Base, Berachain и Blast.
Атака стала возможной после компрометации административного ключа, который использовался для управления протоколом. Получив доступ с правами администратора, злоумышленник смог изменить ключевые контракты и вывести активы из пулов.
Как была реализована атака
В основе инцидента — уязвимая модель управления. Протокол использовал один внешний кошелек с полными правами администратора без дополнительных механизмов защиты. После получения доступа злоумышленник выдал себе права администратора и без задержки заменил контракты.
Для атаки использовался механизм обновляемых контрактов (UUPS), который позволяет менять их логику без смены адреса. В данном случае это позволило заменить рабочие контракты на измененные и вывести средства.
Злоумышленник атаковал несколько компонентов протокола, включая LongPool, ShortPool и Vault. Были выведены различные активы, среди которых WETH, USDC, cbBTC и ряд токенов с меньшей ликвидностью. Часть средств была конвертирована в ETH и распределена по нескольким адресам.
Некоторые проекты начали ограничивать операции, связанные с Wasabi. В частности, Virtuals Protocol приостановил работу с маржинальными депозитами, использующими инфраструктуру Wasabi.
Команда протокола подтвердила факт инцидента и призвала пользователей не взаимодействовать с контрактами до завершения расследования.