- Категорія
- Новини
- Дата публікації
- Змінити мову
- Читать на русском
Wasabi Protocol втратив понад $5 млн унаслідок злому
Wasabi Protocol постраждав від масштабної хакерської атаки, у результаті якої було виведено активи користувачів у мережах Ethereum та Base. За попередніми даними аналітиків безпеки, сума збитків уже перевищила $5 млн.
Як повідомляє Delo.ua, про це заявила компанія Blockaid.
Інцидент став можливим через компрометацію адміністративного ключа, що дозволило зловмиснику захопити контроль над інфраструктурою проєкту. На момент публікації офіційних заяв від команди Wasabi Protocol щодо відшкодування коштів не надходило.
Механіка атаки та вразливості
Експерти зазначають, що вектор атаки базувався не на помилках у торговій логіці, а на маніпуляції правами доступу. Хакери використали легітимний механізм оновлення смартконтрактів для впровадження шкідливого коду.
Хронологія та технічні деталі інциденту:
- Зловмисник отримав доступ до адреси деплоєра та призначив собі роль адміністратора (ADMIN_ROLE).
- Підміна контрактів: через механізм UUPS-апгрейду хакер замінив код сховищ коштів (perp vaults) та пулів ліквідності (LongPool) на шкідливі версії.
- Виведення активів: оновлена система дозволила автоматично переказати кошти користувачів на адреси атакувальника.
- Масштаб: експлуатація була зафіксована одночасно у двох блокчейн-мережах.
Ризики централізації в DeFi
Цей випадок знову підняв питання безпеки децентралізованих протоколів, що використовують контракти з можливістю оновлення. Наявність централізованих ролей управління створює "єдину точку відмови", де компрометація одного ключа може призвести до повної втрати активів протоколу.
Нагадаємо, шахраї атакують українські компанії під виглядом позапланових перевірок Держпраці. В Україні зафіксовано фішингову розсилку від імені державної служби, мета якої — виманювання конфіденційної документації у підприємців.