Эксплойт Wasabi Protocol опустошил $5,5 млн на четырёх блокчейнах: скомпрометированный ключ администратора обнажил критическую уязвимость безопасности

Протокол Wasabi подвергся масштабному взлому, потеряв более 5,5 млн $ на четырёх блокчейнах: Ethereum, Base, Blast и Berachain.

Эксплойт стал возможен из-за уязвимостей, однако проведённые расследования подтверждают, что он не был вызван слабостями кода смарт-контракта протокола. Взлом произошёл из-за скомпрометированного кошелька деплоера, что обнажило одну из постоянных слабостей DeFi（Децентрализованных финансов）: чрезмерную зависимость от централизованного управления.

Аналитики по безопасности практически сразу обнаружили инцидент, отметив, что атака развивалась стремительно и следовала единому методу на каждой из поддерживаемых цепочек. Событие вызвало большой интерес у участников крипто-сообщества, которые расценивают его как наглядный пример того, как уязвимости, не связанные с кодом, способны нанести серьёзный ущерб.

Злоупотребление привилегиями администратора в ходе атаки

Атака осуществлялась с использованием административных возможностей крайне систематически. Сначала злоумышленники скомпрометировали мастер-роль, которая управляла целым рядом динамических узлов, доступных для создания авторизованными пользователями.

Используя этот доступ, атакующий вызвал grantRole, мгновенно предоставив вредоносному новому контракту права администратора. Ключевой особенностью операции стало то, что она обошла все защиты с задержкой, поскольку система допускала назначение ролей без какого-либо timelock.

Получив административный контроль, злоумышленник развернул контракт-оркестратор, который последовательно вызывал strategy deposit для каждого из хранилищ. Поскольку контракт теперь обладал привилегиями уровня администратора, единственный admin-модификатор, призванный ограничивать доступ, оказался неэффективным.

Это позволило атакующему напрямую выводить активы из хранилищ, переводя средства в EOA на всех четырёх цепочках. Скорость и точность атаки свидетельствуют о том, что злоумышленники были уже знакомы с архитектурой системы и её уязвимостями.

Экстренные меры по восстановлению отключают скомпрометированный доступ

Незамедлительно были приняты ончейн меры для оперативного отзыва разрешений скомпрометированного ключа. Все важные роли (например, ADMIN, а также идентификаторы ролей 100, 101, 102 и 103) были удалены из исходного скомпрометированного кошелька деплоера. Это полностью лишило атакующего оставшегося административного доступа к протоколу. В результате данный вектор атаки был закрыт.

Аналитики утверждают, что скомпрометированный ключ больше не может быть использован для каких-либо несанкционированных операций, что стало важным шагом в остановке инцидента. Однако, несмотря на восстановление доступа, похищенные средства по-прежнему находятся в кошельках злоумышленников на этих цепочках, и на данный момент возможностей для возврата активов нет.

Пользователи протокола оказались в ситуации, когда LP-токены обесценились, и теперь ожидают объявления плана компенсации. Взлом нанёс колоссальный ущерб пользователям. В данном случае токены долей провайдера ликвидности (LP), оставшиеся в кошельках пользователей, лишились своей стоимости — по крайней мере, на данный момент, поскольку активы хранилищ были выведены.

Команда Wasabi Protocol подтвердила инцидент и сообщила о проведении расследования. До особого уведомления пользователям настоятельно рекомендуется избегать использования любых контрактов Wasabi во избежание дополнительных рисков. Компании по безопасности, такие как SEAL 911 и Blockaid, работают непосредственно с командой протокола, чтобы оценить масштаб ущерба и разработать меры по устранению последствий. В настоящее время сообщество ожидает информации о плане компенсации, который будет ключевым для восстановления доверия и возмещения потерь пользователям.

Virtuals Protocol реагирует заморозкой функций, связанных с Wasabi

Эксплойт затронул связанные платформы, в том числе Virtuals Protocol, использующий инфраструктуру Wasabi для ряда систем.

Virtuals Protocol оперативно отреагировал, заморозив маржинальные депозиты, связанные с Wasabi. Были приняты меры предосторожности, и основные операции — торговля, вывод средств и функции агентов — продолжают работать.

Поскольку ситуация продолжает развиваться, пользователям рекомендуется не подписывать какие-либо транзакции, связанные с Wasabi. Команда подчеркнула, что ограничения носят временный характер и будут сохраняться до тех пор, пока не будет обеспечена целостность вышестоящих систем.

ZachXBT критикует отсутствие базовых мер защиты безопасности

Эксплойт спровоцировал новые дискуссии о зрелости практик безопасности в DeFi на фоне продолжающихся споров об использовании административных элементов управления. Эксперт по анализу блокчейна ZachXBT ставит под сомнение логику предоставления единому внешнему счёту (EOA) столь широкого общего контроля без базовых средств защиты, таких как мультиподпись (multisig) и timelock.

Его критика отражает более широкую тенденцию в отрасли: смарт контракты регулярно проходят тщательные аудиты, однако повседневные структуры безопасности и управления зачастую остаются уязвимыми.

Эксплойты без взлома кода набирают обороты в апреле

Инцидент с Wasabi — наглядный пример тенденции, набравшей силу в апреле: появление крупных эксплойтов, причиной которых являются не уязвимости смарт-контрактов, а проблемы в области административной безопасности.

В данном случае логика контракта функционировала в соответствии с задумкой. Модель доверия дала сбой — всё просто: S1 использовал единственный ключ администратора для управления вышестоящими системами без каких-либо дополнительных уровней защиты.

Эта закономерность отражает смену ландшафта угроз. Злоумышленники всё реже пытаются взломать труднодоступный код, предпочитая путь наименьшего сопротивления и концентрируясь на уязвимостях в управлении и операционной деятельности.

Вывод для разработчиков и протоколов состоит в том, что безопасность не ограничивается аудитом кода — необходимо обеспечивать строгие политики управления ключами, контроль доступа и отказоустойчивые механизмы.

По мере продолжения расследований и появления новых деталей эксплойт Wasabi, вероятно, станет важным примером растущих рисков, с которыми сталкивается децентрализованная финансовая система.

Предупреждение: это не торговый или инвестиционный совет. Всегда проводите собственное исследование перед покупкой любой криптовалюты или инвестированием в какие-либо услуги.

Подписывайтесь на нас в Twitter @nulltxnews, чтобы быть в курсе последних новостей о Crypto, NFT, AI, кибербезопасности, распределённых вычислениях и метавселенной!