Цена одной настройки — пять миллионов долларов. Wasabi Protocol расследует взлом систем
Ошибка в Wasabi Protocol ударила по кошелькам инвесторов.
Платформа Wasabi Protocol лишилась миллионов долларов за считаные минуты, и причина оказалась не в сложной уязвимости, а в банальной ошибке в управлении доступом.
Децентрализованный сервис для торговли производными инструментами потерял более $5 млн. Атака затронула сразу несколько сетей, включая Ethereum, Base, Berachain и Blast. По данным Blockaid и CertiK, злоумышленник получил контроль над ключом администратора. Через него удалось обновить смарт-контракты и вывести средства. Доступ шёл через кошелёк Wasabi Deployer, который дал полный контроль над основными компонентами системы.
Все токены долей ликвидности Wasabi и Spicy, выпущенные через пострадавшие хранилища, больше нельзя считать надёжными. Активы, которые стояли за такими токенами, уже выведены или остаются под угрозой. По данным BlockSec, в атаке могли участвовать адреса, пополненные через сервис Tornado Cash. Такие адреса получили административные роли и использовались в контрактах LongPool, ShortPool и Vault внутри Wasabi Protocol.
Сервис Cyvers уточнил, что злоумышленник вывел разные активы, среди них WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO и VIRTUAL. После кражи средства перевели в эфир, затем перебросили в сеть Ethereum и распределили по нескольким адресам.
Ситуация оказалась показательной. Проблема возникла не из-за ошибки в коде, а из-за того, как выстроили управление системой. В Wasabi уже использовали механизм задержки перед активацией административных прав, который должен давать время на обнаружение подозрительных действий. Но задержку установили на ноль, фактически отключив защиту. В итоге один ключ оказался достаточным, чтобы захватить контроль над протоколом с десятками миллионов долларов средств пользователей.
После инцидента Virtuals Protocol заявила, что её системы не пострадали, но временно заморозила маржинальные депозиты, связанные с Wasabi. Команда Wasabi Protocol признала проблему и попросила пользователей не взаимодействовать с контрактами до дальнейших уведомлений.
Атака на Wasabi стала частью череды крупных взломов в сфере децентрализованных финансов. За последний месяц злоумышленники атаковали более 25 проектов и вывели свыше $600 млн. Крупнейший инцидент затронул Kelp DAO, где потери составили около $292 млн.