Wasabi Protocol terkuras $4,5 juta akibat dugaan kompromi admin key

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯5129 kata

Wasabi Protocol kehilangan $4,5 juta akibat kompromi admin key yang nyata Eksploitasi ini menggunakan taktik yang mirip dengan peretasan Drift senilai $285 juta awal bulan ini: deployer key yang dikompromikan tanpa timelock atau multisig yang menguras dana. Yang perlu diketahui: - Wasabi Protocol, platform perdagangan perpetual di Ethereum dan Base, kehilangan sekitar $4,55 juta setelah penyerang mengompromikan deployer admin key miliknya. - Penyerang menggunakan kunci yang dikompromikan tersebut untuk memberikan hak istimewa admin kepada diri mereka sendiri dan mengubah vault contracts Wasabi menjadi versi berbahaya, menguras aset dari berbagai pool di kedua chain tersebut. - Insiden ini, yang tidak memiliki perlindungan seperti timelock atau multisig pada peran admin, menambah kerugian DeFi lebih dari $770 juta tahun ini dan memiliki kesamaan dengan eksploitasi kompromi kunci baru-baru ini di Drift Protocol dan Kelp DAO. DeFi tidak bisa berhenti mengalami kerugian, dan Wasabi Protocol adalah yang terbaru yang mengetahui alasannya. Protokol tersebut, platform perdagangan perpetual yang dibangun di atas Ethereum dan Base, kehilangan sekitar $4,55 juta pada hari Kamis setelah penyerang mengompromikan deployer key miliknya, kata firma keamanan Blockaid dalam sebuah postingan di X. Peretasan ini adalah yang terbaru dalam bulan yang telah menghasilkan lebih dari $605 juta kerugian DeFi di setidaknya 12 insiden. Serangan ini sangat mirip dengan eksploitasi Drift Protocol pada 1 April, ketika penyerang yang terkait dengan Korea Utara menggunakan admin key yang dikompromikan untuk menguras $285 juta dari bursa perpetual berbasis Solana. Mekanismenya beroperasi melalui externally owned account, atau EOA, yang disebut wasabideployer.eth, yang memegang satu-satunya ADMIN_ROLE dalam sistem perizinan Wasabi. EOA adalah dompet yang dikendalikan oleh private key, berbeda dengan smart contract. Siapa pun yang memegang kunci tersebut mengendalikan dompetnya. Begitu penyerang memiliki akses ke deployer key, mereka memberikan hak istimewa admin kepada diri mereka sendiri tanpa penundaan dengan memanggil grantRole pada permission contract. Helper contract mereka kemudian meningkatkan perp vaults dan Long Pool Wasabi ke implementasi berbahaya yang menguras saldo, kata Blockaid. Eksploitasi ini mengandalkan standar yang dikenal sebagai Universal Upgradeable Proxy Standard (UUPS), yang memungkinkan smart contract untuk mengubah kode dasarnya sambil tetap mempertahankan alamat yang sama. UUPS digunakan secara luas karena memungkinkan pengembang memperbaiki bug tanpa memigrasikan pengguna. Sisi negatifnya adalah jika penyerang mengendalikan izin admin, mereka dapat mengganti logika kontrak dengan apa pun yang mereka inginkan, termasuk kode yang dirancang untuk mencuri dana. Wasabi tidak memiliki timelock atau multisig yang melindungi peran admin, kata Blockaid. Timelock memaksa adanya penundaan antara saat tindakan admin diumumkan dan saat tindakan tersebut dieksekusi, memberikan waktu bagi pengguna untuk bereaksi. Multisig memerlukan beberapa penanda tangan untuk menyetujui perubahan. Wasabi tidak memiliki keduanya, sehingga satu kunci memegang kendali penuh atas protokol tersebut. 🚨 Sistem deteksi eksploitasi Blockaid mengidentifikasi eksploitasi kompromi admin-key yang sedang berlangsung di @wasabi_protocol di seluruh Ethereum dan Base. Wasabi: Deployer EOA digunakan untuk memberikan ADMIN_ROLE ke helper contract penyerang, yang kemudian melakukan UUPS-upgrade pada perp vaults dan LongPool ke… — Blockaid (@blockaid_) 30 April 2026 Kontrak yang dikompromikan termasuk wWETH, sUSDC, wBITCOIN, wPEPE, dan Long Pool vaults Wasabi di Ethereum, ditambah sUSDC, wWETH, sBTC, sVIRTUAL, sAERO, dan sBRETT vaults di Base, menurut Blockaid. Pengguna yang memegang token LP Wasabi didesak untuk mencabut persetujuan aktif apa pun ke vault contracts karena aset dasar yang mendukung token tersebut telah dikuras atau tetap berisiko. Sebulan penuh eksploitasi Dalam kasus Drift, penyerang juga mengeksploitasi pengaturan admin kunci tunggal tanpa timelock tata kelola, mendaftarkan token palsu sebagai jaminan dan menaikkan batas penarikan untuk menguras aset nyata dalam waktu sekitar 12 menit. Tiga minggu kemudian, pada 19 April, Kelp DAO kehilangan $292 juta ketika penyerang mengeksploitasi konfigurasi verifikator tunggal di bridge LayerZero protokol tersebut, merilis 116.500 rsETH tanpa dukungan yang kemudian digunakan sebagai jaminan untuk mem

Status data✓ Teks lengkap telah diambilBaca artikel asli (CoinDesk)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset6 berita

2026-04-30

Wasabi Protocol terkuras $4,5 juta akibat dugaan kompromi admin key

Tingkat kemiripan 430%關鍵字 apparent/drained/million

2026-04-30

Wasabi Protocol kehilangan $5M setelah penyerang mengambil alih Deployer Admin Key di 3 chain

Tingkat kemiripan 230%關鍵字 key/protocol/wasabi

2026-04-30

Eksploitasi $5 Juta Wasabi Protocol Mempercepat Teori Peretas DeFi Berbasis AI

Tingkat kemiripan 180%關鍵字 protocol/million/wasabi

2026-04-30