Протокол Wasabi потерял более $5 млн в результате хакерской атаки

Wasabi лишился миллионов из-за компрометации административного ключа

30 апреля DeFi-протокол Wasabi подвергся кибератаке, в результате которой злоумышленник похитил активы на сумму свыше $5 млн. Инцидент затронул средства сразу в нескольких блокчейн-сетях — Ethereum, Base, Berachain и Blast.

Первыми о взломе сообщили аналитики PeckShield:

«#PeckShieldAlert @wasabi_protocol has been exploited for $5M+ across multiple chains, including Ethereum, Base, Berachain, & Blast.» — PeckShieldAlert (@PeckShieldAlert), оригинальный пост

Специалисты CertiK провели собственную оценку и определили общий размер ущерба в ~$5,5 млн:

«UPDATE: Total losses amount to ~$5.5M across the ETH, BASE, BLAST, and BERA chains» — CertiK Alert (@CertiKAlert), оригинальный пост

Как проходила атака

По данным Blockaid, хакер получил доступ к административному ключу протокола. Через специальный кошелек Wasabi атакующий назначил собственную версию контракта в качестве управляющей. После этого, используя механизм UUPS-апгрейда, он подменил внутреннюю логику хранилищ платформы и вывел находившиеся там средства.

Аналитики Cyvers уточнили, что кошельки, задействованные в атаке, были предварительно профинансированы через криптомиксер Tornado Cash. Злоумышленник развернул вредоносный контракт одновременно на Base и Ethereum:

«Our system has detected multiple suspicious transactions involving @wasabi_protocol. An address funded via @TornadoCash deployed a malicious contract on both #Base and #Ethereum, extracting approximately $4.5M across multiple assets, including $WETH, $PEPE, $MOG, $USDC…» — Cyvers Alerts (@CyversAlerts), оригинальный пост

Среди похищенных токенов — WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO и VIRTUAL. По данным Cyvers, все украденные активы уже конвертированы в ETH и распределены по нескольким адресам.

Почему это важно

Инцидент с Wasabi выявил серьёзные проблемы в архитектуре безопасности протокола. Основатель компании SlowMist, известный под псевдонимом Cos, обратил внимание на критически слабые защитные механизмы: управление хранилищами осуществлялось единственным EOA-кошельком (Externally Owned Account) без мультиподписи, временной блокировки или механизма DAO-управления.

Блокчейн-исследователь ZachXBT также поставил под вопрос подобную конфигурацию:

«Why did a single EOA seemingly have so much control without basic safeguards? Seems your runway was burned on KOL grifters like Kook…» — ZachXBT (@zachxbt), оригинальный пост

Компания BlockSec дополнительно подтвердила, что административные роли в протоколе были переданы кошелькам, финансирование которых проходило через Tornado Cash.

Реакция команды Wasabi

Разработчики Wasabi подтвердили факт взлома и призвали пользователей прекратить любое взаимодействие с контрактами протокола до получения дальнейших инструкций. Команда пообещала предоставить обновлённую информацию по мере появления новых данных.

Атака на Wasabi стала очередным крупным инцидентом в серии взломов DeFi-проектов за последние дни. 28 апреля хакерам удалось атаковать инфраструктурный Ethereum-проект Syndicate с ущербом в $330 000, а биржа Aftermath Finance в экосистеме Sui потеряла порядка $900 000 в USDC. Днём ранее пострадала L1-сеть ZetaChain — ущерб составил $333 868.