Wasabi Protocol ble rammet av et admin-nøkkel-kompromiss som tappet mer enn $ 5 millioner fra dets perpetuals-bokser og LongPool på Ethereum, Base, Berachain og Blast, rapporterer on-chain-sikkerhetsselskapene Blockaid og PeckShield.
Angriperen fikk ADMIN_ROLE gjennom protokollens deployer-lommebok, og oppgraderte deretter bokser til en ondsinnet implementasjon som tømte brukersaldoer. Rundt $ 4,55 millioner var blitt fjernet ved siste telling, og etterforskningen pågår fortsatt.
Én-nøkkel-svikt bak sikkerhetsbruddet
Blockaid sporet roten til varabideployer.eth, den eneste adressen som hadde ADMIN_ROLE i Wasabi sin PerpManager AccessManager.
Angriperen kalte grantRole på deployer EOA uten forsinkelse, og gjorde straks deres orchestrator-kontrakt til administrator.
“Vi er klar over problemet og undersøker aktivt. Som et sikkerhetstiltak, vennligst ikke interager med Wasabi-kontrakter inntil videre,” ba Wasabi Protocol brukere.
Derfra oppgraderte angriperen via UUPS perpetual-boksene og LongPool til en ondsinnet implementasjon som tømte saldoer.
Deployer-nøkkelen er fortsatt aktiv. Wasabi og Spicy LP-share-tokens fra berørte bokser er merket som kompromittert, med innløsningsverdi nær null.
Blockaid opplyste at samme angriper, orchestrator og strategi-bytecode knytter denne hendelsen til tidligere aktivitet rettet mot Wasabi.
Mønsteret minner om tidligere admin-nøkkel-hendelser og reflekterer enkel EOA-admin oppsett uten timelocks eller multisig. PeckShield anslår de totale tapene til over $ 5 millioner på tvers av alle fire berørte kjeder.
AI-hacker-teorien får nytt liv
Samtidig kommer hendelsen bare timer etter tre andre angrep mellom tirsdag og onsdag. BeInCrypto rapporterte om tirsdagens kjede av angrep, som inkluderte:
- Sweat Economy sitt tap på $ 3,46 millioner, som viste seg å være en redningsaksjon fra stiftelsen, ikke et hack.
- Syndicate Commons bridge på Base mistet 18,5 millioner SYND-tokens verdt $ 330 000 til $ 400 000. Gevinsten ble sendt til Ethereum.
- Aftermath Finance pauset sitt perpetuals-protokoll etter å ha mistet rundt $ 1,14 millioner USDC.
Med dette bakteppet peker analytikere på AI-bekymringer, og henviser til det asymmetriske forholdet mellom verktøy for angripere og forsvarsverktøy hos protokoller.
I samme tankerekke lanserte utvikler Vitto Rivabella en teori om at Nord-Korea har trent opp en egen AI på flere år med stjålet DeFi-data.
Han antydet at modellen nå opererer som en autonom aktør, og tømmer protokoller raskere enn mennesker rekker å finne og fikse svakhetene.
“Villen konspirasjonsteori om de siste DeFi-hackene: Nord-Korea har trent sin egen statlig finansierte versjon av Mythos ved å bruke de enorme datamengdene som er hentet ut ved DeFi-hacks det siste tiåret. Nå lar de bare sin AI DeFi-hacker løpe fritt og vil ikke stoppe pengeinnstrømningen før noen stopper dem,” skrev Rivabella.
Om AI står bak den nylige rekken av angrep eller ikke, gir adminroller med én enkelt nøkkel fortsatt åpenbare muligheter for angripere.
