DeFi 衍生品協議 Wasabi Protocol 在 4 月 30 日下午遭遇การรั่วไหลของคีย์ส่วนตัวผู้ดูแลระบบ (administrator) จากผู้ดูแลระบบเข้าถึงโดยไม่ได้รับอนุญาต。ตามการตรวจสอบของบริษัทความปลอดภัยบนเชน Blockaid และ CertiK Alert ผู้โจมตีได้ให้สิทธิ์ ADMIN_ROLE แก่สัญญา helper ของตนเองผ่าน Deployer EOA ของ Wasabi จากนั้นจึงใช้กลไก UUPS แบบอัปเกรดได้ เพื่ออัปเกรด perp vaults และ LongPool เป็นเวอร์ชันที่เป็นอันตราย ก่อนจะดึงเอายอดคงเหลือของโทเคนที่ฝากไว้ในสัญญาออกไปโดยตรง CertiK คาดความเสียหายราว 2.9 ล้านดอลลาร์สหรัฐ พื้นที่การโจมตีครอบคลุมทั้ง Ethereum mainnet และเครือข่าย Base Wasabi อย่างเป็นทางการได้ประกาศระงับการโต้ตอบกับสัญญาในเวลา 6:33 น. ตามเวลาท้องถิ่นของไต้หวัน
เส้นทางการโจมตี: คีย์ส่วนตัวของผู้ให้บริการ (deployer) รั่วไหล → มอบสิทธิ์ ADMIN_ROLE → อัปเกรดผ่าน UUPS เป็นสัญญาที่เป็นอันตราย
4/30 เวลา 4:30 น. ตามเวลาท้องถิ่นของไต้หวัน หรือประมาณนั้น Blockaid ได้เปิดเผยบน X ว่า Wasabi Protocol มี “การบุกรุกการรั่วไหลของคีย์ส่วนตัวผู้ดูแลระบบที่กำลังดำเนินอยู่” (ongoing admin-key compromise exploit) ห่วงโซ่การโจมตีแบบเต็มประกอบด้วย 3 ขั้นตอน: ขั้นแรก กระเป๋าเงินของดีพลอยเยอร์ของ Wasabi (Deployer EOA) ถูกแฮ็ก และผู้โจมตีได้คีย์ส่วนตัวของกระเป๋านั้นมา จากนั้นผู้โจมตีใช้กระเป๋านี้ดำเนินการ grantRole เพื่อมอบ ADMIN_ROLE ให้แก่สัญญา helper ที่ผู้โจมตีควบคุมอยู่ และสุดท้าย helper สัญญาใช้กลไกการอัปเกรดของ UUPS เพื่อแทนที่ implementation ของสัญญาแกนหลัก 2 รายการ คือ perp vaults (คลังสินทรัพย์สำหรับสัญญาอนุพันธ์ถาวร) และ LongPool (พูลเงินฝั่งฝั่ง Long) ให้เป็นเวอร์ชันที่เป็นอันตราย โดยหลังจากนั้นจะดึงยอดคงเหลือโทเคนที่สัญญาถือตู้ไว้โดยตรง
UUPS (Universal Upgradeable Proxy Standard) คือรูปแบบสัญญาอัจฉริยะที่สามารถอัปเกรดได้ซึ่ง OpenZeppelin ส่งเสริม โดยตรรกะการอัปเกรดจะอยู่ใน “สัญญา implementation” ไม่ใช่ชั้น proxy ข้อดีคือมีต้นทุน gas ต่ำกว่าและโครงสร้างสัญญาจะกระชับกว่า ข้อเสียคือ “บทบาท (role) ที่สามารถทำการอัปเกรดได้” หากถูกโจมตี ผู้โจมตีสามารถแทนที่ทั้งสัญญาด้วยตรรกะใดก็ได้ โดยไม่ต้องผ่านกระบวนการกำกับดูแล (governance) หรือเวลา lock เหตุการณ์ครั้งนี้จึงเป็นตัวอย่างคลาสสิกของการที่ UUPS ถูกนำไปใช้ในทางที่ผิดจากการรั่วไหลของคีย์ส่วนตัวผู้ดูแลระบบ
CertiK คาดความเสียหาย 2.9 ล้านดอลลาร์สหรัฐ ผลกระทบ 2 เชน Ethereum และ Base
CertiK Alert ในวันที่ 4/30 เวลา 4:30 น. ได้ยืนยันเหตุการณ์แบบ同步: “ผู้โจมตีได้รับ Role ที่มีสิทธิพิเศษผ่านกระเป๋าเงินของผู้ดีพลอย Wasabi ซึ่งบ่งชี้ว่ากระเป๋านั้นถูกบุกรุก” CertiK อ้างอิงข้อมูลบนเชนเพื่อประเมินความเสียหายราว 2.9 ล้านดอลลาร์สหรัฐ เหตุการณ์เกิดขึ้นบน Ethereum mainnet และ Base 2 เครือข่าย โดยสัญญาหลักที่ได้รับผลกระทบคือ perp vaults และ LongPool ซึ่งเป็นผลิตภัณฑ์ 2 กลุ่ม—กลุ่มแรกใช้สำหรับการฝากประกันของตำแหน่งในสัญญาถาวร ส่วนกลุ่มหลังรองรับพูลเงินฝั่ง Long
ขนาดของเหตุการณ์เมื่อเทียบกับการแฮ็ก Drift Protocol บน Solana ช่วงต้นเดือนเมษายนมูลค่า 2.85 亿ดอลลาร์สหรัฐ ถือว่าน้อยกว่ามาก แต่ประเภทการโจมตียังคงคล้ายกันโดยแก่นแท้—ยังคงเป็นการรั่วไหลของคีย์ส่วนตัวผู้ดูแลระบบร่วมกับการใช้งาน role ที่มีสิทธิ์สูงในทางที่ผิด สำหรับระบบนิเวศ DeFi นี่สะท้อนว่าการโจมตีแบบ “คีย์ส่วนตัว” ยังเกิดซ้ำ ซึ่งหมายความว่า ความถูกต้องของโค้ดสัญญาอัจฉริยะไม่สามารถปกป้องบัญชีผู้มีสิทธิพิเศษที่สามารถเลี่ยงกลไกต่างๆ ได้โดยอยู่นอกเหนือจากโค้ด
Wasabi ระงับการโต้ตอบกับสัญญา、Virtuals Protocol แช่แข็งเงินฝากหลักประกัน
Wasabi Protocol อย่างเป็นทางการในวันที่ 4/30 เวลา 6:33 น. บน X ได้ออกประกาศว่า: “เราได้สังเกตเห็นปัญหาและกำลังดำเนินการตรวจสอบอย่างเร่งด่วน ในฐานะมาตรการป้องกัน โปรดอย่าโต้ตอบกับสัญญาของ Wasabi จนกว่าจะมีการแจ้งเตือนในภายหลัง” ในประกาศดังกล่าว ทางการไม่ได้ยืนยันรายละเอียดเชิงลึกของการโจมตีที่ Blockaid และ CertiK อธิบายโดยตรง เพียงระบุว่าจะมีข้อมูลเพิ่มเติมออกมาภายหลัง
ในบรรดาโปรเจกต์ที่ได้รับผลกระทบในชั้นถัดไป สิ่งที่น่าจับตามากที่สุดคือ Virtuals Protocol—ระบบนิเวศ AI Agent ที่ได้รับความนิยมในช่วงปีที่ผ่านมา โดยฟีเจอร์บางส่วนของผลิตภัณฑ์อาศัยบริการเงินฝากหลักประกันที่ Wasabi ให้ไว้ Virtuals ในวันที่ 4/30 เวลา 5:07 น. บน X ได้แถลงว่า ความปลอดภัยของตนเองสมบูรณ์ดี และได้ระงับการทำงานฟีเจอร์เงินฝากหลักประกันที่ Wasabi สนับสนุนทันที ขณะที่ธุรกรรมอื่นๆ การถอน และการทำงานของ agent ยังทำงานตามปกติ พร้อมเตือนผู้ใช้ว่าอย่าลงนามในธุรกรรมที่เกี่ยวข้องกับ Wasabi ใดๆ ก่อนเหตุการณ์จะได้รับการแก้ไข
สำหรับนักลงทุนใน DeFi ข้อเตือนนี้สอดคล้องกัน: เมื่อโปรโตคอลต่างๆ นำมาประกอบกัน และมีการใช้เลเวอเรจหรือฟังก์ชันด้านอนุพันธ์จากบริการข้างบน ความปลอดภัยของคีย์ส่วนตัวของโครงสร้างพื้นฐานฝั่งบนจะกลายเป็นความเสี่ยงที่ผู้ใช้ปลายทางทั้งหมดต้องร่วมรับ ไม่ว่าจะเป็นโปรโตคอลที่คุณโต้ตอบโดยตรงจะปลอดภัยหรือไม่ก็ตาม
บทความนี้ Wasabi ถูกโจมตีมูลค่า 2.9 ล้านดอลลาร์สหรัฐ: คีย์ส่วนตัวผู้ดูแลระบบรั่วไหล、สัญญาถูกเปลี่ยนเป็นเวอร์ชันที่เป็นอันตราย ปรากฏครั้งแรกที่ 鏈新聞 ABMedia。
