FFeel.Trading
뉴스 목록Wasabi Protocol, admin key가 유출된 것으로 보이는 공격으로 450만 달러 탈취당해
CoinDesk2026-04-30 09:37:47

Wasabi Protocol, admin key가 유출된 것으로 보이는 공격으로 450만 달러 탈취당해

ORIGINALWasabi Protocol drained of $4.5 million in apparent admin key compromise
AI 영향 분석Grok 분석 중...
📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯5129 자
Wasabi Protocol, 관리자 키 유출로 450만 달러 탈취당해 이번 공격은 이달 초 발생한 Drift의 2억 8,500만 달러 규모의 해킹과 유사한 방식을 사용했습니다. 타임락(timelock)이나 멀티시그(multisig)가 적용되지 않은 배포자 키(deployer key)가 탈취되어 자금이 유출되었습니다. 핵심 요약: - Ethereum과 Base 기반의 무기한 선물 거래 플랫폼인 Wasabi Protocol은 배포자 관리자 키가 탈취되면서 약 455만 달러의 자금을 도난당했습니다. - 공격자는 탈취한 키를 사용하여 스스로 관리자 권한을 부여하고 Wasabi의 볼트(vault) 컨트랙트를 악성 버전으로 변경하여 두 체인의 여러 풀에서 자산을 탈취했습니다. - 관리자 역할에 타임락이나 멀티시그와 같은 안전장치가 없었던 이번 사건으로 인해 올해 DeFi 손실액은 7억 7,000만 달러를 넘어섰으며, 최근 발생한 Drift Protocol 및 Kelp DAO의 키 탈취 공격과 유사점을 보입니다. DeFi의 자금 유출은 멈추지 않고 있으며, Wasabi Protocol은 그 이유를 보여주는 가장 최근의 사례가 되었습니다. 보안 업체 Blockaid는 X 게시물을 통해 Ethereum과 Base 기반의 무기한 선물 거래 플랫폼인 해당 프로토콜이 목요일 배포자 키 탈취로 인해 약 455만 달러를 도난당했다고 밝혔습니다. 이번 해킹은 최소 12건의 사건을 통해 6억 500만 달러 이상의 DeFi 손실을 기록한 이번 달의 가장 최근 사례입니다. 이번 공격은 4월 1일 북한 연계 공격자가 탈취한 관리자 키를 사용하여 Solana 기반 무기한 선물 거래소에서 2억 8,500만 달러를 탈취했던 Drift Protocol 공격과 매우 흡사합니다. 공격 메커니즘은 Wasabi의 권한 시스템에서 유일한 ADMIN_ROLE을 보유한 wasabideployer.eth라는 EOA(외부 소유 계정)를 통해 작동했습니다. EOA는 스마트 컨트랙트와 달리 개인 키로 제어되는 지갑입니다. 키를 가진 사람이 지갑을 제어합니다. 공격자는 배포자 키에 접근한 후, 권한 컨트랙트에서 grantRole을 호출하여 지연 없이 스스로 관리자 권한을 부여했습니다. Blockaid에 따르면, 공격자의 헬퍼 컨트랙트는 Wasabi의 perp 볼트와 Long Pool을 악성 구현으로 업그레이드하여 잔액을 탈취했습니다. 이번 공격은 스마트 컨트랙트가 동일한 주소를 유지하면서 기본 코드를 변경할 수 있도록 하는 UUPS(Universal Upgradeable Proxy Standard) 표준을 악용했습니다. UUPS는 개발자가 사용자 마이그레이션 없이 버그를 수정할 수 있게 해주기 때문에 널리 사용됩니다. 단점은 공격자가 관리자 권한을 제어할 경우, 자금 탈취를 목적으로 설계된 코드를 포함하여 원하는 무엇이든 컨트랙트 로직을 대체할 수 있다는 점입니다. Blockaid는 Wasabi가 관리자 역할을 보호하기 위한 타임락이나 멀티시그를 갖추고 있지 않았다고 지적했습니다. 타임락은 관리자 작업이 발표된 시점과 실행되는 시점 사이에 지연을 강제하여 사용자가 대응할 시간을 제공하며, 멀티시그는 변경 사항을 승인하기 위해 여러 서명자를 요구합니다. Wasabi는 이 두 가지 모두 갖추지 않아 단일 키가 프로토콜에 대한 완전한 통제권을 가지게 되었습니다. 🚨 Blockaid의 공격 탐지 시스템이 Ethereum과 Base 전반에서 진행 중인 @wasabi_protocol의 관리자 키 탈취 공격을 식별했습니다. Wasabi: Deployer EOA가 공격자 헬퍼 컨트랙트에 ADMIN_ROLE을 부여하는 데 사용되었으며, 이후 perp 볼트와 LongPool이 UUPS 업그레이드되었습니다… — Blockaid (@blockaid_) 2026년 4월 30일 Blockaid에 따르면 탈취된 컨트랙트에는 Ethereum의 Wasabi wWETH, sUSDC, wBITCOIN, wPEPE, Long Pool 볼트와 Base의 sUSDC, wWETH, sBTC, sVIRTUAL, sAERO, sBRETT 볼트가 포함됩니다. Wasabi LP 토큰 보유자들은 해당 토큰을 뒷받침하는 기초 자산이
데이터 상태✓ 전체 내용 추출 완료원문 읽기 (CoinDesk)
🔍과거 유사 사건· 키워드 + 종목 매칭6 건
2026-04-30
Wasabi Protocol, admin key가 유출된 것으로 보이는 공격으로 450만 달러 규모의 피해 발생
유사도 430%關鍵字 apparent/drained/million
2026-04-30
Wasabi Protocol, 공격자가 3개 체인에서 Deployer Admin Key를 탈취하여 500만 달러 손실
유사도 230%關鍵字 key/protocol/wasabi
2026-04-30
Wasabi Protocol 500만 달러 해킹 사건, AI 기반 DeFi 해커 이론 가속화
유사도 180%關鍵字 protocol/million/wasabi
2026-04-30
Wasabi Protocol 해킹으로 290만 달러 피해! 공격자는 지갑 배포를 통해 권한 획득
유사도 130%關鍵字 protocol/wasabi
2026-04-30
Wasabi Protocol 해킹으로 550만 달러 피해 발생! 공격자가 지갑 컨트랙트를 통해 관리자 권한 탈취
유사도 130%關鍵字 protocol/wasabi
2026-04-24
Cluster Protocol, EVM용 브라우저 네이티브 Vibe Coding AI IDE인 CodeXero를 가속화하기 위해 500만 달러를 조달하며 총 투자 유치액 775만 달러 달성
유사도 130%關鍵字 protocol/million
💡 현재 키워드 + 종목 매칭(MVP) 사용 중 · 추후 embedding 의미론적 검색으로 업그레이드 예정
원본 정보
ID:133b86729f
출처:CoinDesk
발행:2026-04-30 09:37:47
분류:일반 · 도출된 분류 neutral
종목:지정되지 않음
커뮤니티 투표:+0 /0 · ⭐ 0 중요 · 💬 0 댓글