DeFi 衍生品協議 Wasabi Protocol 4 月 30 日下午 зазнала атаки з витоком ключа адміністратора. За даними моніторингу блокчейн-безпекових компаній Blockaid і CertiK Alert, атакувальник після того, як через Deployer EOA Wasabi надав ADMIN_ROLE своєму helper-контракту, далі через механізм UUPS-посилюваного (upgradeable) проксі перетворив perp vaults і LongPool на зловмисні версії реалізації та напряму вивів токенні залишки з гаманця контракту. CertiK попередньо оцінила збитки приблизно у 2,9 мільйона доларів, а зона атаки охоплює як Ethereum, так і Base. Офіційний представник Wasabi уже о 18:33 за тайванським часом оголосив про призупинення взаємодії з контрактом.
Шлях атаки: витік приватного ключа деплойера → ADMIN_ROLE → UUPS-апгрейд на зловмисний контракт
Близько 16:30 за тайванським часом 4/30 Blockaid у X оприлюднила, що в Wasabi Protocol триває «атака зі зламаним приватним ключем адміністратора» (ongoing admin-key compromise exploit). Повний ланцюг атаки складається з трьох кроків: спершу деплойерський гаманець Wasabi (Deployer EOA) було зламано, і атакувальник отримав його приватний ключ; далі атакувальник, використовуючи цей гаманець, виконав grantRole, надавши ADMIN_ROLE helper-контракту під власним контролем; наприкінці helper-контракт скористався механізмом UUPS-апгрейду, щоб замінити реалізацію (implementation) двох ключових контрактів — perp vaults (сховище для перпетуальних контрактів) і LongPool (лонгова пулина коштів) — на зловмисну версію, після чого напряму витягнув токенні залишки з контрактного кастоді.
UUPS (Universal Upgradeable Proxy Standard) — це модель апгрейду смартконтрактів, яку просуває OpenZeppelin: логіка оновлення зосереджена в «контракті реалізації», а не на рівні проксі. Переваги — нижчі витрати gas і більш компактна структура контракту; ціною є те, що якщо «роль, яка може виконувати апгрейд», буде скомпрометована, атакувальник може без проходження через процеси управління чи часові блокування (time lock) просто підмінити весь контракт на довільну логіку. Цей інцидент — типовий приклад зловживання UUPS через витік приватного ключа адміністратора.
CertiK оцінює збитки у 2,9 мільйона доларів, вплив — на Ethereum і Base
CertiK Alert о 4/30 о 16:30 синхронно підтвердив подію: «атакувальник отримав привілейований Role від гаманця деплойера Wasabi, що вказує на компрометацію цього гаманця». CertiK навела ончейн-дані та оцінила втрати приблизно у 2,9 мільйона доларів. Атака відбулася в основній мережі Ethereum і в Base; постраждали два ключові продукти — perp vaults і LongPool: перший використовується для кастоді застави під позиції перпетуальних контрактів, а другий — для лонгового пули коштів.
За масштабом інцидент значно менший, ніж 285 мільйонів доларів, яких зазнав Drift Protocol на Solana на початку квітня, але за типом атаки суть подібна — знову витік приватного ключа адміністратора в поєднанні з зловживанням високопривілейованими ролями. Для DeFi-екосистеми повторюваність «приватноключових» атак означає таке: правильність коду смартконтрактів не може захистити ті привілейовані акаунти, які можуть обходити механізми безпосередньо поза кодом.
Wasabi призупинив взаємодію з контрактом, Virtuals Protocol заморозив депозити гарантій
Офіційний представник Wasabi Protocol о 6:33 за тайванським часом 4/30 у X опублікував оголошення: «Ми помітили проблему та активно її розслідуємо. Як запобіжний захід, будь ласка, не взаємодійте з контрактами Wasabi, доки не буде подальших повідомлень». У повідомленні офіційна сторона не підтвердила напряму деталі атаки, описані Blockaid і CertiK, а лише зазначила, що буде надано більше інформації.
Серед проєктів нижнього рівня, що постраждали, найбільш помітним є Virtuals Protocol — популярна торік екосистема AI Agent-проєктів, у частини продуктів якої задіяна депозитна сервісна функція гарантій, що надавалася Wasabi. Virtuals о 17:07 за тайванським часом 4/30 відреагував у X: запевнив, що власна безпека без змін, і негайно заморозив функцію депозитів гарантій, що підтримувалася Wasabi; інші операції — торгівля, виведення коштів, дії agent — продовжують працювати як раніше, а також закликав користувачів не підписувати жодних транзакцій, пов’язаних із Wasabi, до вирішення інциденту.
Для DeFi-інвесторів це ще одне узгоджене застереження: коли протоколи поєднуються між собою та підключають важелі або похідні функції через послуги верхнього рівня, безпека приватних ключів у базовій інфраструктурі перетворюється на ризик, який спільно несуть усі нижчі користувачі, незалежно від того, чи безпечним є протокол, з яким вони взаємодіють напряму.
Ця стаття «Wasabi зазнала хакерської атаки на 2,9 мільйона доларів: витік приватного ключа адміністратора, контракт змінено на зловмисну версію» вперше з’явилася на 鏈新聞 ABMedia.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
