Інцидент безпеки в децентралізованому протоколі Wasabi
Платформа децентралізованих фінансів Wasabi стала об’єктом кібератаки, внаслідок якої було втрачено понад 5 мільйонів доларів США. Таку інформацію надали аналітики компаній PeckShield та CertiK, що спеціалізуються на безпеці блокчейн-систем.
Деталі атаки
Атака охопила одразу кілька блокчейн-мереж, включаючи Ethereum, Base, Berachain та Blast, як повідомила PeckShield. За даними CertiK, причиною інциденту стала компрометація адміністративного ключа. Невідомий зловмисник отримав привілейований доступ через гаманець-деплоєр Wasabi, що дозволило йому оновити ключові системи та вивести кошти.
Викрадені активи та їх подальша доля
Зловмисники викрали різноманітні криптоактиви, серед яких були WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO та VIRTUAL. Згодом викрадені кошти були конвертовані в ефір, переведені в мережу Ethereum, а потім розподілені між численними адресами. Попередні дані свідчать про можливу участь у цій атаці облікових записів, які були фінансовані через криптоміксер Tornado Cash. Ці облікові записи отримали адміністративні права та були задіяні в операціях з контрактами LongPool, ShortPool та Vault протоколу Wasabi.
Попередження від фахівців з безпеки
Експерти з безпеки блокчейн-технологій застерігають, що всі токени ліквідності Wasabi слід вважати скомпрометованими. Це пов’язано з тим, що активи, які їх забезпечують, або вже виведені, або перебувають під загрозою, доки активним залишається ключ скомпрометованого гаманця.
Реакція команди Wasabi
Команда Wasabi офіційно визнала факт експлуатації вразливості та рекомендувала своїм клієнтам припинити будь-яку взаємодію з контрактами Wasabi до отримання подальших повідомлень. Деталі щодо суми збитків та механізму атаки платформа не розкрила.
Механізм експлуатації
За інформацією видання The Block, Wasabi використовувала систему контролю доступу, яка передбачала затримку між призначенням адміністративної ролі та можливістю її використання. Цей тимчасовий період мав на меті надати системі безпеки платформи або розробникам можливість виявити потенційний злом. Однак, через вразливість протоколу, хакеру вдалося анулювати цю затримку.
Загальна статистика зломів
За попередніми оцінками DeFiLlama, у квітні було зламано понад 25 великих криптопротоколів, що призвело до збитків на суму понад 600 мільйонів доларів. Найбільшим інцидентом став злом Kelp DAO, в результаті якого зловмисники викрали токени на 292 мільйони доларів, а згодом заставили права на них на кредитних криптоплатформах.
Резюме Crypto Top: Втрата значних коштів протоколом Wasabi через компрометацію ключа підкреслює постійні ризики в DeFi. Цей інцидент може посилити недовіру до нових протоколів та стимулювати розробку більш надійних механізмів безпеки.