Támadása érte a Wasabi Protocolt, 5 milliós a kár
Súlyos támadás érte a Wasabi Protocolt csütörtökön. A legfrissebb becslések szerint 5 millió dollár tűnt el az Ethereum, a Base, a Berachain és a Blast hálózatairól. A hackereknek csupán egy privát kulcsra és egy nem megfelelően védett protokollra volt szükségük.
Több blokkláncon át támadtak a hackerek, milliókat szereztek
A Wasabi Protocol kereskedési platform csütörtökön súlyos támadás áldozatává vált, amelynek következtében 4,5 és 5 millió dollár közötti összeg tűnt el az Ethereum, a Base, a Berachain és a Blast hálózatairól. A támadáshoz nem volt szükség okosszerződéses sebezhetőségre, csupán egy kompromittált privát kulcsra és egy olyan protokollra, amelynek védelme egyáltalán nem volt megfelelő.
Hogyan zajlott a támadás?
A hackerek a Wasabi engedélyrendszerében admin hozzáféréssel rendelkező kulcs feletti irányítást szereztek. Ezután további adminisztrátori jogosultságokat adtak maguknak, amivel hozzáfértek a központi szerződésekhez, és azokat rosszindulatú szoftver segítségével gyorsan kiürítették.
A Blockaid megerősítette, hogy a támadó a Tornado Cash által üzemeltetett számlákon keresztül is átirányította a pénzeszközöket, mielőtt azokat Ethereumra váltotta és több címre osztotta szét.
A protokollnak nem volt időalapú zárolása, sem multisigje, amely védte volna az adminisztrátori szerepkört. Ez azt jelenti, hogy egyetlen privát kulcs birtokában valaki képes volt a teljes ellenőrzés megszerzésére egy több láncú protokoll felett, amelyben több tízmillió dollárnyi felhasználói pénz volt.
„A Wasabit nem egy okosszerződéses hiba érte, hanem ugyanaz a működési hiba, amellyel idén a DeFi-szektorban folyamatosan találkozunk”
– nyilatkozta a The Blocknak Shalev Keren, a MoonPay által nemrég felvásárolt Sodot társalapítója.
Érdekelhet: Mi az a multisig tárca?
Egyre okosabbak a hackerek
A Wasabi elleni támadás szorosan hasonlít az áprilisi korábbi támadásokra: a Drift Protocol április 1-jén 285 millió dollárt vesztett egy feltört rendszergazdai kulcs miatt, a Kelp DAO pedig április 19-én 292 millió dollárt egy egyetlen ellenőrzővel rendelkező hídkonfiguráció miatt. A DeFi-szektor 2026-os összesített vesztesége mára meghaladta a 770 millió dollárt.
Kapcsolódó: Össztűz alatt a Circle a Drift hackertámadás után, őket is hibáztatják