Wasabi Protocol mengalami peretasan besar-besaran, kehilangan lebih dari $5,5 juta di empat blockchain: Ethereum, Base, Blast, dan Berachain.
Eksploitasi ini berasal dari kerentanan yang ada, namun investigasi hingga saat ini memastikan bahwa eksploit tersebut bukan disebabkan oleh kelemahan pada kode smart contract protokol itu sendiri. Sebaliknya, peretasan ini disebabkan oleh dompet deployer yang disusupi, yang mengungkap salah satu kelemahan DeFi yang terus berulang: ketergantungan berlebihan pada tata kelola terpusat.
Analis keamanan mendeteksi insiden ini hampir seketika karena mereka mencatat bahwa serangan bergerak cepat dan mengikuti metode yang konsisten di setiap chain yang didukung. Kejadian ini menarik perhatian besar dari anggota komunitas kripto yang memandangnya sebagai contoh nyata bagaimana kerentanan non-kode dapat menimbulkan kehancuran.
Penyalahgunaan Hak Istimewa Admin yang Dilakukan oleh Serangan
Serangan ini memanfaatkan hak administrasi secara sangat sistematis. Mereka pertama kali menyusupi peran master yang mengendalikan seluruh rangkaian node dinamis yang dapat dibuat oleh mereka yang memiliki akses.
Menggunakan akses ini, penyerang memanggil grantRole, yang langsung memberikan hak admin kontrak baru yang berbahaya. Fitur utama dari operasi ini adalah bahwa ia melewati semua perlindungan penundaan karena sistem memungkinkan penetapan peran tanpa timelock apa pun.
Setelah mendapatkan kendali administratif, penyerang kemudian men-deploy kontrak orkestrator yang secara berurutan memanggil strategy deposit untuk setiap vault. Dengan kontrak yang kini memiliki hak istimewa tingkat admin, satu-satunya modifier admin yang dimaksudkan untuk membatasi akses menjadi tidak efektif.
Hal ini memungkinkan penyerang untuk menguras aset langsung dari vault, mentransfer dana ke EOA di keempat chain. Kecepatan dan ketepatan serangan menunjukkan bahwa mereka sudah familiar dengan arsitektur sistem dan kerentanannya.
Langkah Pemulihan Segera Menonaktifkan Akses yang Disusupi
Selanjutnya, langkah-langkah on-chain diambil untuk segera menonaktifkan izin kunci yang disusupi. Semua peran penting (mis. ADMIN, serta pengenal peran seperti 100, 101, 102, dan 103) dihapus dari dompet deployer yang disusupi. Hal ini sepenuhnya menghapus akses admin yang tersisa bagi penyerang pada protokol tersebut. Akibatnya, pelanggaran ini menutup vektor serangan yang spesifik.
Para analis menyatakan bahwa kunci yang disusupi tidak lagi dapat digunakan untuk operasi tidak sah lebih lanjut, sebuah tonggak penting dalam menghentikan insiden tersebut. Namun, meskipun akses telah dipulihkan, dana yang dicuri masih berada di dompet penyerang di chain-chain tersebut tanpa opsi pemulihan saat ini.
Pengguna protokol terjebak dengan token LP yang tidak bernilai dan kini menunggu pengumuman rencana kompensasi. Pelanggaran ini berdampak besar pada pengguna. Dalam kasus ini, token bagian likuiditas provider (LP) yang masih berada di dompet pengguna kini telah kehilangan nilainya, setidaknya untuk sementara, karena aset yang dipegang oleh vault telah dikuras.
Tim Wasabi Protocol mengonfirmasi insiden ini dan menyatakan bahwa investigasi sedang berlangsung. Hingga pemberitahuan lebih lanjut, pengguna sangat disarankan untuk menghindari penggunaan kontrak Wasabi apa pun guna membatasi risiko tambahan. Perusahaan keamanan seperti SEAL 911 dan Blockaid bekerja langsung dengan tim protokol untuk memahami tingkat kerusakan dan menguraikan langkah-langkah remediasi. Saat ini, komunitas menunggu informasi tentang rencana kompensasi yang akan sangat penting dalam membangun kembali kepercayaan dan membantu pengguna memulihkan kerugian mereka.
Virtuals Protocol Merespons dengan Membekukan Fitur yang Terkait Wasabi
Eksploit ini berulang kali merusak platform yang terhubung, di antaranya Virtuals Protocol, yang memanfaatkan infrastruktur Wasabi untuk sistem tertentu.
Virtuals Protocol merespons dengan cepat dengan membekukan deposit margin yang terkait dengan Wasabi. Mereka mengambil tindakan pencegahan dan memastikan operasi intinya, yaitu perdagangan, penarikan, dan fungsi agen, tetap berjalan.
Karena situasi masih berkembang, pengguna diperingatkan untuk tidak menandatangani transaksi apa pun terkait Wasabi. Tim menekankan bahwa pembatasan ini bersifat sementara dan akan tetap diberlakukan hingga mereka dapat memastikan integritas sistem upstream.
ZachXBT Mengkritik Absennya Perlindungan Keamanan Mendasar
Eksploit ini memicu diskusi baru tentang kematangan praktik keamanan di DeFi, di tengah pertanyaan yang terus berkembang tentang penggunaan kontrol administratif. Pakar analisis blockchain ZachXBT mempertanyakan alasan di balik pemberian kendali umum yang begitu besar kepada satu akun yang dimiliki secara eksternal (EOA) tanpa jaring pengaman dasar seperti multisig dan tanpa timelock.
Kritiknya mencerminkan tren yang lebih luas di industri ini: smart contract secara rutin menjalani audit ekstensif, tetapi struktur keamanan dan tata kelola sehari-hari sering kali tetap menjadi sasaran empuk.
Eksploit Non-kode Semakin Meningkat di April Ini
Insiden Wasabi adalah contoh utama dari sesuatu yang kita lihat semakin meningkat sepanjang April: munculnya eksploit besar yang bukan disebabkan oleh cacat smart contract, melainkan masalah keamanan administratif.
Logika kontrak berfungsi sebagaimana dirancang dalam kasus ini. Model kepercayaan yang gagal, sesederhana itu; dalam kasus ini S1 menggunakan satu kunci admin untuk mengendalikan upstream tanpa lapisan perlindungan tambahan apa pun.
Pola ini mensimulasikan perubahan dalam lanskap ancaman. Semakin sedikit penyerang yang mencoba meretas kode yang sulit dikompromikan, melainkan lebih condong ke jalur dengan hambatan terkecil dengan berfokus pada kerentanan tata kelola dan operasional.
Pelajaran bagi pengembang maupun protokol adalah bahwa keamanan melampaui audit kode hingga memastikan kebijakan manajemen kunci yang ketat, kontrol akses, dan mekanisme fail-safe.
Dengan investigasi yang terus berkembang dan lebih banyak detail yang terungkap, eksploit Wasabi kemungkinan besar akan menjadi contoh penting dari risiko yang semakin meningkat yang dihadapi oleh keuangan terdesentralisasi.
Pengungkapan: Ini bukan saran perdagangan atau investasi. Selalu lakukan riset Anda sendiri sebelum membeli mata uang kripto apa pun atau berinvestasi dalam layanan apa pun.
Ikuti kami di Twitter @nulltxnews untuk tetap mendapatkan berita terbaru tentang Kripto, NFT, AI, Keamanan Siber, Komputasi Terdistribusi, dan Metaverse!
Source: https://nulltx.com/wasabi-protocol-exploit-drains-5-5m-across-four-chains-as-compromised-admin-key-exposes-critical-security-flaw/
