Излом Wasabi Protocol: из-за компрометации админключа похищено более $5 млн

Криптпроект Wasabi Protocol стал жертвой масштабной атаки, в результате которой злоумышленники получили контроль над ключевыми смарт-контрактами системы. По данным аналитиков по безопасности Blockaid, инцидент привел к потере активов пользователей в сетях Ethereum и Base.

Вместо поиска ошибок в торговом коде хакер избрал путь компрометации прав доступа. Атака происходила по следующему сценарию:

Захват контроля Используя адрес деплоера протокола, злоумышленник назначил свой контракт администратором системы.

Использование аппрейда UUPS: Получив права, хакер воспользовался стандартным механизмом обновления смартконтрактов (UUPS), который обычно служит для легитимного улучшения функционала.

Подмена логики: Злоумышленник заменил код хранилищ (perp vaults) и ликвидного пула (LongPool) на вредоносную версию, что позволило системе автоматически вывести средства в его пользу.

По предварительным оценкам экспертов, сумма похищенных средств превышает $5 млн. Команда проекта пока не выступила с официальными разъяснениями или планом компенсаций.$BTC

Специалисты отмечают, что этот случай подчеркивает уязвимость DeFi-протоколов, использующих централизованные роли управления и механизмы быстрого обновления кода. Хотя такие инструменты удобны для разработчиков, они становятся критической точкой отказа при утечке административных ключей.