Protokol Virtuals menolak pengungkapan karena Protokol Wasabi kehilangan $5,5 juta dalam eksploitasi

Wasabi Protocol adalah korban terbaru dari eksploitasi peretasan, dalam gelombang eksploitasi yang meningkat di bulan April. Investigator on-chain memperkirakan kerugian hingga $5,5 juta pada saat pelaporan

Wasabi Protocol adalah platform DeFi untuk perdagangan dan pinjaman, tetapi dengan tempat khusus untuk aset long-tail, termasuk NFT dan token meme. Protocol ini berjalan di beberapa chain, yang menyebabkan eksposurnya terhadap peretasan saat ini

Wasabi Protocol tidak menjelaskan sifat dari peretasan tersebut dalam momen awal setelah kerugian ditemukan. Proyek ini mengimbau pengguna untuk berhenti menggunakan kontrak pintar Wasabi mana pun.

Menjelang peretasan, Wasabi Protocol memiliki total nilai terkunci sebesar $8,52 juta. Bahkan nilai yang relatif rendah ini tidak mencegah aplikasi tersebut menjadi target peretas. Serangan ini mengikuti eksploitasi terbaru dari Aftermath Finance dalam serangkaian kerugian yang tidak menyisihkan protocol DeFi kecil

PeckShield melaporkan bahwa Wasabi Protocol telah dieksploitasi di beberapa chain, termasuk Ethereum, Base, Berachain, dan Blast

Menurut analis DeFi @DefiIgnas, peretasan terbaru memiliki pola yang sama, menargetkan protocol yang lebih tua atau kurang dikenal. Dia menyatakan target kemungkinan dipilih menggunakan AI, dan vault dengan lebih dari $100K adalah target

Wasabi Protocol diserang setelah memperluas aktivitas DEX

Serangan terbaru ini datang tepat saat Wasabi Protocol meningkatkan aktivitas perdagangan DEX-nya. DEX asli proyek ini mulai dengan volume perdagangan yang lebih tinggi pada bulan Maret, berdasarkan data DeFi Llama.

Namun, eksploitasi terbaru ini tidak langsung terkait dengan peningkatan perdagangan DEX. Peneliti on-chain ZachXBT mencatat bahwa protocol ini tidak cukup terdesentralisasi, dan satu wallet mengendalikan beberapa fungsi penting

Menurut peneliti on-chain, penyebab paling mungkin dari kerugian adalah kunci pribadi yang bocor. Wallet yang dikompromikan tampaknya mengendalikan vault yang dapat diupgrade, tanpa izin, dan tidak berotorisasi. Vault tersebut menawarkan hasil langsung tanpa persetujuan multisig, timelock, atau proses voting.

Menurut Blockaid, pelaku peretasan mendapatkan akses ke kunci pribadi, meng-upgrade ke akses admin untuk beberapa vault, dan menguras semua token likuid. Pelaku kemudian menguras vault di Ethereum dan Base, serta likuiditas LongPool.

Menurut peneliti, kontrak pintar dari Wasabi Protocol bukanlah masalahnya, tetapi serangan dilakukan melalui pencurian kunci pribadi, baik secara fisik maupun melalui malware

Semua token kepemilikan LP Wasabi telah dikompromikan

Kerugian dari Wasabi berasal dari vault yang dikuras, yang meninggalkan penyedia likuiditas dengan nilai yang terkompromi. Semua token yang dicetak dari vault yang dikompromikan secara praktis bernilai nol. Bagi pengguna akhir, dompet mungkin masih menampilkan nilai buku, tetapi tidak dapat ditebus

Pengguna dengan persetujuan aktif untuk menerima token harus mencabutnya, dan pelanggan lain harus menandai token sebagai dikompromikan jika memungkinkan

Pelaku peretasan berhasil menguras beberapa vault, yang berisi USDC, WETH, REKT, dan PEPE di Ethereum.

Di Base, eksploitasi mempengaruhi WETH, USDC, dan cbBTC. Dari vault Blast, pelaku mengambil WETH dan USDB. Di Berachain, vault dikuras untuk Wrapped BERA (WBERA) dan HONEY.

MOG, NEIRO, dan ZYN juga terdampak, tetapi $1,9 juta kerugian berasal dari token WETH.

Dana tersebut kemudian dipindahkan ke Ethereum, dikonsolidasikan, dan sebagian dikirim untuk pencampuran di Tornado Cash.

Virtuals Protocol, yang sering meluncurkan token agen AI baru melalui Wasabi, mengumumkan tidak mengalami kerugian tetapi secara preemptif menghentikan semua interaksi dengan kontrak pintar vault.

Para pakar crypto paling cerdas sudah membaca newsletter kami. Ingin bergabung? Bergabunglah dengan mereka.