Wasabi Protocol heeft een admin-key hack meegemaakt waarbij meer dan $5 miljoen is gestolen uit de perpetual vaults en LongPool op Ethereum, Base, Berachain en Blast, melden on-chain beveiligingsbedrijven Blockaid en PeckShield.
De hacker kreeg via de deployer wallet van het protocol het ADMIN_ROLE en voerde een upgrade uit naar kwaadaardige smart contracts. Op deze manier kon het saldo van gebruikers worden leeggehaald. Ongeveer $4,55 miljoen was bij de laatste telling buitgemaakt, en het onderzoek loopt nog.
Single-key fout oorzaak van de hack
Blockaid traceerde de oorzaak naar wasabideployer.eth, het enige adres met ADMIN_ROLE binnen Wasabi’s PerpManager AccessManager.
De aanvaller gebruikte grantRole op het deployer EOA zonder wachttijd en maakte zo zijn orchestrator contract direct tot admin.
“We zijn op de hoogte van het probleem en onderzoeken het actief. Uit voorzorg: neem geen interactie met Wasabi-contracten tot nadere berichtgeving,” waarschuwde Wasabi Protocol gebruikers.
Vanaf daar deed de aanvaller een UUPS-upgrade van de perpetual vaults en LongPool naar een kwaadaardige implementatie die alle tegoeden leeghaalde.
De deployer key is nog steeds actief. Wasabi- en Spicy LP-share tokens uit getroffen vaults zijn gemarkeerd als gecompromitteerd en zijn vrijwel waardeloos.
Blockaid merkte op dat dezelfde aanvaller, orchestrator en strategy-bytecode linken naar eerdere aanvallen op Wasabi.
Dit lijkt op vroegere admin-key hacks en toont het risico van single-EOA admin scenario’s zonder timelocks of multisigs. Volgens PeckShield bedraagt de schade meer dan $5 miljoen op alle vier getroffen chains.
Nieuwe aandacht voor AI-hacker theorie
Ondertussen vond dit incident plaats slechts enkele uren na drie andere aanvallen tussen dinsdag en woensdag. BeInCrypto meldde de golf van dinsdag, waaronder:
- Sweat Economy met een $3,46 miljoen ‘drain’, wat uiteindelijk een reddingsactie van de stichting bleek te zijn en geen hack.
- Syndicate Commons bridge op Base verloor 18,5 miljoen SYND tokens met een waarde tussen $330.000 en $400.000. De opbrengst werd naar Ethereum gestuurd.
- Aftermath Finance zette het perpetuals-protocol stop na een verlies van ongeveer $1,14 miljoen USDC.
Tegen deze achtergrond uiten analisten zorgen over AI, en wijzen op het verschil tussen de slimme tools van aanvallers en de verdediging van protocollen.
In dezelfde richting opperde ontwikkelaar Vitto Rivabella dat Noord-Korea een interne AI zou hebben getraind met jaren aan gestolen DeFi-data.
Hij stelde dat dit model nu als een autonome exploiter werkt en protocollen sneller leegtrekt dan menselijke reviewers ze kunnen repareren.
“Wilde complottheorie over de recente DeFi-hacks: Noord-Korea heeft een eigen, door de staat gefinancierde versie van Mythos getraind met enorme hoeveelheden gehackte DeFi-data van de afgelopen 10 jaar. Nu laten ze hun AI DeFi-hacker los, en die blijft cashen tot iemand ingrijpt,” schreef Rivabella.
Of AI nu wel of niet de drijvende kracht is achter de laatste exploits, single-key adminrollen blijven een makkelijk aanvalspunt opleveren voor hackers.
