Protokół Wasabi padł ofiarą ogromnego włamania, tracąc ponad 5,5 miliona dolarów w czterech blockchainach: Ethereum, Base, Blast i Berachain.
Exploit wynika z luk w zabezpieczeniach, jednak dotychczasowe dochodzenia potwierdzają, że atak nie był spowodowany żadną słabością własnego kodu inteligentnych kontraktów protokołu. Włamanie nastąpiło w wyniku przejęcia portfela deployera, co ujawniło jedną z nieustępliwych słabości DeFi: nadmierne poleganie na scentralizowanym zarządzaniu.
Analitycy bezpieczeństwa wykryli incydent niemal natychmiast, zauważając, że atak przebiegał szybko i według spójnej metody na każdym obsługiwanym łańcuchu. Wydarzenie wzbudziło znaczne zainteresowanie członków społeczności krypto, którzy postrzegają je jako jaskrawy przykład tego, jak luki spoza kodu mogą siać spustoszenie.
Nadużycie Uprawnień Administratora Dokonane Przez Atak
Atak wykorzystał uprawnienia administracyjne w bardzo systematyczny sposób. Najpierw przejęto rolę główną, która kontrolowała całą serię dynamicznych węzłów, które mogą być tworzone przez osoby mające do nich dostęp.
Używając tego dostępu, atakujący wywołał grantRole, natychmiast nadając złośliwemu nowemu kontraktowi prawa administratora. Kluczową cechą tej operacji było obejście wszystkich zabezpieczeń opóźniających, ponieważ system zezwalał na przypisywanie ról bez jakiegokolwiek timelocka.
Po uzyskaniu kontroli administracyjnej atakujący wdrożył kontrakt orkiestratora, który kolejno wywoływał wpłatę strategii dla każdego z vaultów. Ponieważ kontrakt posiadał uprawnienia na poziomie administratora, jedyny modyfikator admina, mający na celu ograniczenie dostępu, stał się nieskuteczny.
Pozwoliło to atakującemu na bezpośrednie opróżnienie aktywów z vaultów i przelanie środków do EOA we wszystkich czterech łańcuchach. Szybkość i precyzja ataku sugerują, że napastnik był już zaznajomiony z architekturą systemu i jego lukami.
Natychmiastowe Działania Naprawcze Wyłączają Przejęty Dostęp
Następnie podjęto działania on-chain w celu szybkiego wyłączenia uprawnień skompromitowanego klucza. Wszystkie ważne role (np. ADMIN, a także identyfikatory ról takie jak 100, 101, 102 i 103) zostały usunięte z oryginalnego przejętego portfela deployera. Całkowicie usunęło to wszelki pozostały dostęp administratora dla atakującego w protokole. W rezultacie naruszenie zamknęło konkretny wektor ataku.
Analitycy twierdzą, że skompromitowany klucz nie może być już używany do żadnych dalszych nieautoryzowanych operacji, co jest kamieniem milowym w powstrzymaniu tego incydentu. Jednak mimo że dostęp został przywrócony, skradzione środki nadal znajdują się w portfelach atakujących w tych łańcuchach, bez możliwości odzyskania ich w tej chwili.
Użytkownicy protokołu zostali z bezwartościowymi tokenami LP i czekają na ogłoszenie planu kompensacyjnego. Naruszenie miało ogromny wpływ na użytkowników. W tym przypadku tokeny udziałów LP (liquidity provider) nadal znajdujące się w portfelach użytkowników zostały pozbawione wartości, przynajmniej tymczasowo, ponieważ aktywa przechowywane w vaultach zostały opróżnione.
Zespół Wasabi Protocol potwierdził incydent i poinformował, że dochodzenia są w toku. Do odwołania użytkownicy są gorąco proszeni o unikanie korzystania z jakichkolwiek kontraktów Wasabi w celu ograniczenia dodatkowego ryzyka. Firmy zajmujące się bezpieczeństwem, takie jak SEAL 911 i Blockaid, współpracują bezpośrednio z zespołem protokołu, aby zrozumieć zakres szkód i nakreślić działania naprawcze. Obecnie społeczność czeka na informacje o planie kompensacyjnym, który będzie kluczowy dla odbudowania zaufania i pomocy użytkownikom w odzyskaniu strat.
Virtuals Protocol Reaguje, Zamrażając Funkcje Powiązane z Wasabi
Exploit wielokrotnie zaszkodził połączonym platformom, wśród nich Virtuals Protocol, który wykorzystuje infrastrukturę Wasabi do określonych systemów.
Virtuals Protocol szybko zareagował, zamrażając depozyty marżowe powiązane z Wasabi. Podjął środki ostrożności i zapewnił, że jego podstawowe operacje — handel, wypłaty i funkcje agenta — nadal działają.
Ponieważ sytuacja nadal się rozwija, użytkownicy są ostrzegani, aby nigdy nie podpisywali żadnych transakcji dotyczących Wasabi. Zespół podkreślił, że ograniczenia te są tymczasowe i pozostaną w mocy do czasu, gdy będzie można zapewnić integralność systemów nadrzędnych.
ZachXBT Krytykuje Brak Podstawowych Zabezpieczeń
Exploit wywołał nowe dyskusje na temat dojrzałości praktyk bezpieczeństwa w DeFi, wśród trwających pytań o stosowanie kontroli administracyjnych. Ekspert ds. analizy blockchain ZachXBT kwestionuje logikę stojącą za tym, że pojedynczemu konto zewnętrznie posiadanemu (EOA) przyznano tak duże ogólne uprawnienia bez podstawowych zabezpieczeń, takich jak multisig, i bez możliwości zastosowania timelocka.
Jego krytyka wskazuje na szerszy trend w branży: inteligentne kontrakty są rutynowo poddawane rozległym audytom, ale codzienne struktury bezpieczeństwa i zarządzania często pozostają łatwymi celami.
Exploity Pozakodowe Rosną w Tym Kwietniu
Incydent Wasabi jest doskonałym przykładem czegoś, co obserwowaliśmy narastające przez cały kwiecień: pojawienie się poważnych exploitów, które nie wynikają z błędów w inteligentnych kontraktach, lecz z problemów z bezpieczeństwem administracyjnym.
W tym przypadku logika kontraktu działała zgodnie z założeniami. Model zaufania zawiódł, i tyle; w tym przypadku S1 używał jednego klucza administratora do kontrolowania systemu nadrzędnego bez żadnych dodatkowych warstw ochronnych.
Ten wzorzec symuluje zmianę w krajobrazie zagrożeń. Coraz rzadziej atakujący próbują włamać się do kodu, który jest trudny do skompromitowania, a zamiast tego podążają ścieżką najmniejszego oporu, koncentrując się na lukach w zarządzaniu i operacjach.
Wniosek zarówno dla deweloperów, jak i protokołów jest taki, że bezpieczeństwo wykracza poza audyt kodu i obejmuje zapewnienie rygorystycznych polityk zarządzania kluczami, kontroli dostępu i mechanizmów awaryjnych.
W miarę jak dochodzenia są kontynuowane i pojawiają się kolejne szczegóły, exploit Wasabi prawdopodobnie stanie się ważnym przykładem rosnącego ryzyka, przed jakim stoi zdecentralizowane finanse.
Ujawnienie: Nie jest to porada handlowa ani inwestycyjna. Zawsze przeprowadzaj własne badania przed zakupem jakiejkolwiek kryptowaluty lub inwestowaniem w jakiekolwiek usługi.
Śledź nas na Twitterze @nulltxnews , aby być na bieżąco z najnowszymi wiadomościami dotyczącymi Crypto, NFT, AI, cyberbezpieczeństwa, obliczeń rozproszonych i Metaverse!
Source: https://nulltx.com/wasabi-protocol-exploit-drains-5-5m-across-four-chains-as-compromised-admin-key-exposes-critical-security-flaw/
![[OPINIA] Ryzyko psychospołeczne — ukryty koszt pracy na Filipinach](https://www.rappler.com/tachyon/2026/04/TL-psychosocial-work-apr-22-2026.jpg)
