30 апреля системы обнаружения Blockaid зафиксировали атаку на Wasabi Protocol. Злоумышленник скомпрометировал приватный ключ деплоера протокола и использовал его, чтобы выдать себе роль администратора через вспомогательный контракт. Получив права, он провел обновление хранилищ и LongPool по схеме UUPS, подменив реализацию на вредоносную, которая и слила средства пользователей.
Атака велась одновременно в нескольких сетях (Ethereum, Base, Berachain и Blast), что, по мнению аналитиков, указывает на заранее спланированную операцию, а не случайно найденную уязвимость.
Вся схема уложилась в одну атомарную транзакцию: злоумышленник развернул контракт и вывел активы, заплатив $1,42 в виде комиссии за газ. В рамках этой транзакции прошло 18 переводов ERC-20, в том числе WETH на $1,9 млн и USDC на $171 000. По оценке Blockaid, суммарный ущерб составил около $4,55 млн, PeckShield называет цифру свыше $5 млн.
Blockaid предупредил: все LP-токены хранилищ Wasabi и Spicy нужно считать скомпрометированными. Балансы в интерфейсах могут отображаться корректно, но реальная стоимость этих токенов равна нулю или стремится к нему — базовые активы уже выведены или остаются под угрозой, пока ключ деплоера активен. Аналитики рекомендовали пользователям немедленно отозвать все разрешения для контрактов Wasabi.
В обсуждении один из участников указал на системную проблему: один скомпрометированный кошелек дал атакующему полный контроль над протоколом.
«Это концентрация риска, а не децентрализация», — подчеркнул он.
Читайте также: