30 апреля децентрализованный протокол Wasabi стал жертвой хакерской атаки. По данным аналитиков PeckShield, ущерб от взлома превысил 5 млн долларов, а эксперты CertiK оценили потери в 5,5 млн долларов.
Сообщается, что атака затронула активы сразу в нескольких сетях — Ethereum, Base, Berachain и Blast.
По информации Blockaid, злоумышленник получил доступ к административному ключу и через специальный кошелек Wasabi назначил свою версию контракта управляющей. Затем, используя механизм UUPS-обновления, хакер изменил внутреннюю логику хранилищ платформы и вывел средства пользователей.
Основатель компании SlowMist под псевдонимом Cos заявил, что у протокола были слабые механизмы защиты. По его словам, управление хранилищами осуществлялось через один EOA-кошелек без мультподписи, временной блокировки или управления через ДАО, что позволило атакующему скомпрометировать приватный ключ.
В BlockSec добавили, что административные роли получили кошельки, которые, по их данным, были профинансированы через криптомиксер Tornado Cash.
Согласно данным Cyvers, злоумышленник похитил ряд активов, включая WETH, PEPE, MOG, USDC, cbBTC, AERO, VIRTUAL и другие токены. Часть средств он уже конвертировал в ETH и распределил по нескольким адресам.
Команда Wasabi подтвердила факт взлома и рекомендовала пользователям не взаимодействовать с контрактами протокола до отдельного уведомления. Разработчики пообещали предоставить дополнительную информацию позже.
Ранее, 28 апреля, хакерской атаке подвергся инфраструктурный Ethereum-проект Syndicate, потери которого оценили примерно в 330 тысяч долларов.
