Wasabi Protocol koki admin-avaimen kompromisoinnin, joka tyhjensi yli 5 miljoonaa dollaria sen perpetual-vault-talleista ja LongPoolista Ethereumissa, Basessa, Berachainissa ja Blastissa, kertoivat lohkoketjujen turvallisuusyritykset Blockaid ja PeckShield.
Hyökkääjä sai ADMIN_ROLE-oikeudet protokollan deployer-lompakon kautta ja päivitti vault-sopimukset haitalliseen versioon, joka tyhjensi käyttäjien saldot. Viimeisimpien tietojen mukaan noin 4,55 miljoonaa dollaria oli jo siirretty, ja tutkinta on yhä käynnissä.
Yhden avaimen epäonnistuminen toi haavoittuvuuden
Blockaid selvitti, että ongelma liittyi wasabideployer.eth-osoitteeseen, joka oli ainoa osoite, jolla oli ADMIN_ROLE-oikeudet Wasabin PerpManager AccessManagerissa.
Hyökkääjä kutsui grantRole-toiminnon deployer-lompakolle viiveettä ja teki näin oman orkestraattori-sopimuksensa välittömästi adminiksi.
“Olemme tietoisia ongelmasta ja tutkimme sitä aktiivisesti. Varotoimena pyydämme olemaan vuorovaikuttamatta Wasabi-sopimusten kanssa, kunnes toisin ilmoitetaan,” Wasabi Protocol ohjeisti käyttäjiä.
Tämän jälkeen hyökkääjä päivitti UUPS-muodossa perpetual-vaultit ja LongPoolin haitalliseen toteutukseen, joka tyhjensi saldot.
Deployer-avain on yhä aktiivinen. Wasabi- ja Spicy LP-jakotokenit kompromissoiduista vaulteista on merkitty vaarallisiksi, ja niiden lunastus-arvo on lähes nolla.
Blockaid totesi, että sama hyökkääjä, orkestraattori ja strategia-bytecode yhdistävät tämän tapauksen aiempaan Wasabiin kohdistuneeseen toimintaan.
Kuvio muistuttaa aikaisempia admin-avaimen väärinkäyttöjä ja korostaa yhden-EOA-admin-ratkaisujen riskejä ilman viivettä tai multisig-turvaa. PeckShield arvioi kokonaistappioiden ylittäneen 5 miljoonaa dollaria kaikilla neljällä alustoilla.
AI-hakkeriteoria saa uutta pontta
Tämä tapahtui vain tunteja kolmen muun hyökkäyksen jälkeen tiistain ja keskiviikon välisenä aikana. BeInCrypto raportoi tiistain ketjureaktion, joka sisälsi muun muassa:
- Sweat Economyn 3,46 miljoonan dollarin tyhjennyksen, joka kuitenkin osoittautui olevan säätiön pelastusoperaatio – ei varsinainen hakkerointi.
- Syndicate Commons -sillan Base-alustalla menetettiin 18,5 miljoonaa SYND-tokenia, joiden arvo oli 330 000–400 000 dollaria. Varat siirrettiin Ethereum-verkkoon.
- Aftermath Finance keskeytti perpetual-protokollansa menetettyään noin 1,14 miljoonaa USDC:tä.
Näiden tapahtumien myötä analyytikot ovat nostaneet esiin tekoälyyn liittyviä huolia, sillä hyökkääjien työkalut ja protokollien puolustukset ovat epätasapainossa.
Samaan ajatukseen liittyen kehittäjä Vitto Rivabella esitti teorian, että Pohjois-Korea olisi kouluttanut oman tekoälynsä vuosien varrella varastetulla DeFi-datalla.
Hän arvelee mallin toimivan nykyään autonomisesti ja tyhjentävän protokollia nopeammin kuin ihmiset ehtivät korjata haavoittuvuuksia.
“Villinä salaliittoteoriana viimeisistä DeFi-hyökkäyksistä: Pohjois-Korea on kouluttanut oman, valtion rahoittaman version Mythosista hyödyntäen valtavia määriä DeFi-protokollista viimeisen 10 vuoden aikana varastettua dataa. Nyt he päästävät AI-DeFi-hakkerinsa vapaaksi eivätkä pysähdy ennen kuin joku pysäyttää heidät,” kirjoitti Rivabella.
Epäselvää on, ohjaako tekoäly todella näitä viimeaikaisia hyväksikäyttöjä, mutta yhdellä admin-avaimella toimivat järjestelmät antavat hyökkääjille jatkuvasti helpon pääsyn.
