Wasabi Protocol зазнав компрометації ключа адміністратора, в результаті якої з його безстрокових пулів і LongPool на Ethereum, Base, Berachain і Blast було виведено понад $5 млн, повідомили аналітичні компанії з кібербезпеки Blockaid і PeckShield.
Зловмисник отримав ADMIN_ROLE через гаманець деплойера протоколу, після чого оновив реалізацію сховищ (vaults) до шкідливого смартконтракту, котрий автоматично вивів кошти користувачів. За останніми підрахунками, втрачено близько $4,55 млн, розслідування триває.
Причина інциденту — відсутність захисту одноключового адміністрування
Blockaid визначив джерело проблеми: адреса wasabideployer.eth — єдина, що мала ADMIN_ROLE у модулі доступу Wasabi Protocol (PerpManager AccessManager).
Зловмисник викликав grantRole для EOA деплойера без таймера, миттєво підвищивши привілеї власного смартконтракту до адміністратора.
«Ми знаємо про проблему і активно ведемо розслідування. У якості запобіжного заходу просимо не взаємодіяти із смартконтрактами Wasabi Protocol до офіційних оновлень», — закликала команда користувачів.
Після цього було проведено UUPS-оновлення сховищ і LongPool на шкідливу реалізацію, яка призвела до автоматичного вилучення залишків із пулів.
Ключ деплойера залишається активним. Токени Wasabi та Spicy LP-share з уражених пулів позначені як скомпрометовані, їхня вартість практично обнулилась.
Blockaid підкреслив: ідентичні схема, orchestrator і байткод стратегії вже використовувалися в попередніх атаках на Wasabi Protocol.
Поведінка співзвучна інцидентам із компрометацією ключів адміністратора раніше та демонструє ризикова структура керування з одним EOA без таймлоків або мультипідписів. PeckShield оцінює сукупні втрати понад $5 млн на всіх чотирьох мережах.
Теорія «AI-хакера» набирає актуальності
Інцидент стався через декілька годин після ще трьох атак, зафіксованих вівторком і середою. Видання BeInCrypto повідомило про каскад випадків у вівторок, серед яких:
- Втрата $3,46 млн із пулу Sweat Economy — щоправда, ситуацію виправив благодійний фонд, і хак не підтвердився.
- Міст Syndicate Commons на Base втратив 18,5 млн SYND (еквівалент $330 000–$400 000). Кошти переведено у мережу Ethereum.
- Aftermath Finance тимчасово призупинив роботу безстрокових контрактів через втрату близько $1,14 млн в USDC.
На цьому тлі аналітики активізують дискусію щодо впливу можливостей AI, які створюють асиметрію між інструментами нападників і захисними механізмами децентралізованих протоколів.
Розвиваючи цю думку, розробник Вітто Рівабелла висловив припущення, що Північна Корея тренувала власну AI-модель на вкрадених даних із DeFi (децентралізованих фінансів) за багато років.
Він стверджує: наразі такий AI вже функціонує автономно, атакуючи протоколи швидше, аніж люди встигають ліквідувати вразливості.
«Дика конспірологічна гіпотеза про хвилю останніх DeFi-атак: Північна Корея створила власну, державну версію Mythos, натреновану на надзвичайно великому обсязі даних, викрадених із DeFi-протоколів за минуле десятиліття. Тепер вони просто відпустили цього AI-експлуататора у «вільне плавання» — і не припинять заробляти, поки їх не зупинять», — констатував Рівабелла.
Чи є AI наріжним фактором останньої серії експлойтів, поки що невизначено, проте одноосібні адміністративні ролі стабільно забезпечують зловмисникам вікно для атак.
