Nawala ang Wasabi Protocol ng $5.5M matapos makompromiso ang isang admin key. Narito kung paano naubos ng isang wallet ang milyun-milyon sa apat na chain sa loob ng ilang minuto.
Nagdusa ang Wasabi Protocol amalaking paglabag sa seguridadnoong Abril 30, 2025.
Nakompromiso ng isang attacker ang isang privileged deployer wallet, na umuubos ng mahigit $5.5 milyon sa apat na blockchain network. Kasama sa mga apektadong chain ang Ethereum, Base, Berachain, at Blast.
Ang mga security firm na Blockaid, CertiK, at PeckShield ay na-flag lahat ng insidente sa loob ng ilang oras. Wasabinakumpirmaang isyu bago ang 10:30 a.m. UTC, na humihimok sa mga user na ihinto agad ang pakikipag-ugnayan sa mga kontrata nito.
Basahin din:
Ang Sui DeFi ay muling tumama nang ang $1.14M ay naubos sa Perp Exploit
Paano Nabuksan ang Wasabi Protocol Admin Key Exploit
Ang pag-atake ay hindi nagsasangkot ng isang smart contract bug. Sa halip, nakuha ng attacker ang kontrol sa wasabideployer.eth, ang nag-iisang admin key holder ng Wasabi.
Ayon sa Blockaid, ang deployer wallet ay nagbigay ng ADMIN_ROLE sa isang malisyosong kontrata ng helper. Ang kontratang iyon ay nag-upgrade ng maraming perpetual futures vault at isang LongPool, na direktang kumukuha ng mga pondo mula sa kanila.
🚨 Tinukoy ng system ng exploit detection ng Blockaid ang isang on-going admin-key compromise exploit sa@wasabi_protocolsa buong Ethereum at Base. Ang Wasabi: Deployer EOA ay ginamit upang magbigay ng ADMIN_ROLE sa isang attacker helper na kontrata, na pagkatapos ay na-upgrade ng UUPS ang mga perp vault at LongPool sa…
— Blockaid (@blockaid_)Abril 30, 2026
Iniulat ng Blockaid na humigit-kumulang $2.2 milyon ang umalis sa Ethereum, kabilang ang 841 na nakabalot na ETH, USDC, at ilang memecoin. Isa pang $2.4 milyon ang inilipat mula sa Base.
PeckShieldilagay ang kabuuang pagkalugihigit sa $5 milyon sa lahat ng chain. Security researcher din si Jeremynabanggit$5.5 milyon ang ninakaw, binabanggit ang WETH, PEPE, Mog, at USDC vaults bilang mga target. Napunta ang mga pondo sa maraming address na kinokontrol ng attacker.
Nakompromiso ang mga Token ng LP at Mga Kontrata sa Vault sa Mga Kadena
Nagbabala ang Blockaid na ang lahat ng Wasabi at Spicy LP-share token na nakatali sa mga nalabag na vault ay dapat ituring na nakompromiso. Ang mga pinagbabatayan na asset na sumusuporta sa mga token na iyon ay naubos o nasa panganib.
Pinayuhan ng Blockaid ang mga platform na i-flag ang mga token na ito sa kanilang mga interface at i-prompt ang mga user na may mga aktibong pag-apruba na bawiin kaagad ang access.
Siyam na kontrata ng vault sa Ethereum ay nakalista bilang nakompromiso. Kabilang dito ang wWETH, sUSDC, sREKT, wPEPE, wMog, wBITCOIN, sZYN vault, at ang LongPool.
Naapektuhan din ang walong kontrata sa Base, na sumasaklaw sa sUSDC, wWETH, sBTC/cbBTC, sVIRTUAL, sAERO, sBRETT, sWELL, at sSKI vaults.
Kinumpirma ng pundasyon ni Berachain ang kamalayan sa paglabag. Nag-pause ito at nag-blacklist sa mga apektadong Wasabi reward vault sa network nito at huminto sa karagdagang paglabas ng BGT sa mga nakompromisong kontrata.
Pinayuhan ni Berachain ang mga user na nakipag-ugnayan sa Wasabi sa chain nito na bawiin ang mga pag-apruba ng token sa pamamagitan ng revoke.cash.
Alam ni Berachain ang pangunahing kompromiso ng admin ng Wasabi Protocol na nakakaapekto sa maraming chain.
Na-pause at na-blacklist namin ang mga apektadong Wasabi reward vault sa Berachain. Wala nang karagdagang BGT emissions ang dadaloy sa mga nakompromisong kontrata.
Kung nakipag-ugnayan ka kay Wasabi sa Berachain,…
— Berachain Foundation 🐻⛓ (@berachain)Abril 30, 2026
Nag-iisang EOA, Walang Multisig: Nag-aalala ang Mga Eksperto sa Seguridad
Ang pangunahing dahilan, gaya ng natukoy ng Blockaid, ay isang account na pag-aari sa labas na may buong ADMIN_ROLE sa PerpManager ng Wasabi.
Walang multisig, walang timelock, at walang pamamahala ng DAO na nagpoprotekta sa pag-access na iyon. Ang tagapagtatag ng SlowMist na si Cositinurona kapag nag-leak ang pribadong key na iyon, walang pumagitna sa umaatake at sa mga vault.
On-chain investigator na si ZachXBTitinaas na mga tanongtungkol sa kung bakit ang isang pitaka ay nagdadala ng napakaraming kontrol nang walang mga pangunahing pag-iingat sa lugar. At saka, analyst na si Ted Pillowsnabanggitna ang insidente ay nag-highlight sa mga panganib ng privileged access na ipinares sa mga naa-upgrade na kontrata.
Kinumpirma ni Berachain na nakikipagtulungan ito sa Blockaid at ZeroShadow sa patuloy na pagsisiyasat. Ang kuwentong ito ay umuunlad pa rin, at ang mga karagdagang detalye ay inaasahan habang nagpapatuloy ang pagsisiyasat.
Pinagmulan: Live Bitcoin News
Mag-iwan ng Tugon