Протокол Wasabi был взломан на сумму $4,5 млн — злоумышленники получили доступ к ключу развёртывания (deployer key) и вывели средства из пулов ликвидности. Атака повторила схему недавнего взлома Drift, который обошёлся в $285 млн.
Почему один ключ стал причиной потери $4,5 млн
Эксплойт затронул смарт-контракты Wasabi Protocol: хакер использовал скомпрометированный ключ развёртывания, который не был защищён таймлоком (задержка исполнения транзакции) или мультиподписью (multisig). Это позволило мгновенно вывести все доступные средства из протокола.
По имеющимся данным, атака была проведена в несколько этапов: сначала злоумышленник перевёл управление контрактами на свой адрес, а затем инициировал серию транзакций на вывод активов. Общая сумма потерь составила $4,5 млн.
Этот инцидент произошёл на фоне недавнего взлома Mythos, который заставил криптоиндустрию пересмотреть подходы к безопасности.
Как взлом Wasabi повторил судьбу Drift
Сценарий атаки практически идентичен инциденту с Drift — другой DeFi-платформой, потерявшей $285 млн ранее в этом месяце. В обоих случаях уязвимость заключалась в отсутствии элементарных мер безопасности при развёртывании контрактов.
Аналитики подчёркивают, что использование одного ключа без таймлока или мультиподписи — грубая ошибка для протоколов, управляющих крупными пулами ликвидности. После взлома Drift многие проекты обещали усилить защиту, но Wasabi, судя по всему, не успел внедрить изменения.
Напомним, что ранее команда ZetaChain отклонила баг-репорт, который мог предотвратить кражу на $334 000, что подчёркивает системную проблему с управлением уязвимостями.
Отсутствие таймлока и мультиподписи делает протокол уязвимым для полной потери средств при компрометации одного ключа.
Чему учит индустрию взлом Wasabi Protocol
Взлом Wasabi — очередной сигнал для DeFi-индустрии о том, что безопасность развёртывания контрактов остаётся слабым звеном. За последние два месяца это уже второй крупный инцидент, вызванный не защищённым ключом администратора.
Для пользователей децентрализованных протоколов ситуация означает, что даже после громких взломов многие проекты не спешат внедрять базовые механизмы защиты. Инвесторам стоит проверять, использует ли протокол мультиподпись и таймлок, прежде чем вносить средства.
Пока неизвестно, сможет ли Wasabi Protocol компенсировать потери или вернуть украденные активы. Следственные действия и анализ транзакций продолжаются.
Главный вывод из этой истории: один ключ без защиты — это бомба замедленного действия для любого DeFi-проекта. Вопрос лишь в том, кто станет следующей жертвой.