Wasabi Protocol ha subito una compromissione della chiave admin che ha prosciugato oltre 5 milioni di dollari dai suoi vault di perpetual e dal LongPool su Ethereum, Base, Berachain e Blast, secondo quanto riportato dalle società di sicurezza on-chain Blockaid e PeckShield.
L’attaccante ha ottenuto l’ADMIN_ROLE tramite il wallet deployer del protocollo, quindi ha aggiornato i vault a una versione malevola che ha prosciugato i saldi degli utenti. L’ultima stima parla di circa 4,55 milioni di dollari sottratti, e l’indagine è ancora in corso.
Compromissione di una sola chiave causa la violazione
Blockaid ha tracciato la causa principale su wasabideployer.eth, l’unico indirizzo in possesso dell’ADMIN_ROLE nell’AccessManager del PerpManager di Wasabi.
L’attaccante ha chiamato grantRole sull’EOA del deployer senza alcun ritardo, trasformando istantaneamente il proprio contratto orchestratore in un admin.
“Siamo a conoscenza di un problema e stiamo indagando attivamente. A scopo precauzionale, vi preghiamo di non interagire con i contratti Wasabi fino a nuovo avviso,” ha sollecitato agli utenti Wasabi Protocol.
Da lì, l’attaccante ha effettuato un aggiornamento UUPS dei vault perpetual e del LongPool verso una versione malevola che ha prosciugato i saldi.
La chiave del deployer è ancora attiva. I token Wasabi e Spicy LP-share dai vault compromessi sono segnalati come compromessi, con un valore di riscatto vicino allo zero.
Blockaid ha sottolineato che lo stesso attaccante, orchestratore e lo stesso bytecode della strategia collegano questo incidente ad attività precedenti sempre rivolte a Wasabi.
Lo schema richiama incidenti precedenti legati alle chiavi admin e riflette configurazioni con un solo admin EOA, prive di timelock o multisig. PeckShield ha stimato che le perdite totali superano i 5 milioni di dollari sulle quattro chain coinvolte.
La teoria dell’hacker AI trova nuovo slancio
Nel frattempo, l’incidente si è verificato poche ore dopo altri tre attacchi avvenuti tra martedì e mercoledì. BeInCrypto ha riportato la cascata di martedì, comprendente:
- Sweat Economy: drain da 3,46 milioni di dollari, che però si è rivelato un salvataggio della fondazione e non un hack.
- Il bridge Syndicate Commons su Base ha perso 18,5 milioni di SYND token per un valore compreso tra 330.000 e 400.000 dollari. I proventi sono stati trasferiti su Ethereum.
- Aftermath Finance ha sospeso il suo protocollo perpetual dopo una perdita di circa 1,14 milioni di USDC.
Su questo scenario, gli analisti parlano di preoccupazioni legate all’AI, citando la dinamica asimmetrica tra gli strumenti degli attaccanti e le difese dei protocolli.
Nella stessa direzione, lo sviluppatore Vitto Rivabella ha avanzato una teoria secondo cui la Corea del Nord avrebbe addestrato in-house una AI su anni di dati DeFi rubati.
Ha suggerito che ora il modello agisca come exploit autonomo, prosciugando i protocolli più velocemente di quanto i revisori umani riescano a intervenire.
“Teoria complottistica folle sui recenti hack DeFi: la Corea del Nord ha addestrato la propria versione di Mythos, finanziata dallo stato, usando le enormi quantità di dati ottenuti hackerando protocolli DeFi negli ultimi 10 anni. Ora stanno semplicemente lasciando libera la loro AI DeFi hacker e continueranno a incassare finché qualcuno non li fermerà,” ha scritto Rivabella.
Che sia l’AI a guidare la recente ondata di exploit o meno, il ruolo admin gestito da una sola chiave continua a fornire agli attaccanti un facile punto di ingresso.
