2023年5月10日、Wasabi Protocolはセキュリティインシデントに関するアップデートを発表し、攻撃者がAWSインフラ内のSpring Boot Actuatorの設定脆弱性を悪用して、EVMスマートコントラクトを制御する秘密鍵を盗み、約480万ドルのユーザ資金と90万ドルのプロトコル財務資金を盗んだと述べました。攻撃の連鎖は、分析用に使用されていた公開サーバーから始まり、そのActuatorのヒープダンプが適切にパスワード保護されていなかったため、攻撃者は別のサーバーの認証情報を取得し、最終的にスマートコントラクトの秘密鍵を掌握しました。このインシデントは、Ethereum、Base、Blast、Berachainの一部財務を含むEVM展開のみを対象とし、Solanaの展開やProp AMMには影響しませんでした。Wasabi Protocolは、ユーザーへの最終的な補償計画はまだ決定されていないと述べましたが、すべての影響を受けたユーザーへの補償を最優先事項とし、調査の進捗については今後Discordコミュニティで共有される予定です。
ワサビプロトコルのセキュリティインシデントに関するアップデート:最終的なユーザー補償計画はまだ未定
2023年5月10日、Wasabi Protocolはセキュリティインシデントに関するアップデートを発表し、攻撃者がAWSインフラ内のSpring Boot Actuatorの設定脆弱性を悪用して、EVMスマートコントラクトを制御する秘密鍵を盗み、約480万ドルのユーザ資金と90万ドルのプロトコル財務資金を盗んだと述べました。攻撃の連鎖は、分析用に使用されていた公開サーバーから始まり、そのActuatorのヒープダンプが適切にパスワード保護されていなかったため、攻撃者は別のサーバーの認証情報を取得し、最終的にスマートコントラクトの秘密鍵を掌握しました。このインシデントは、Ethereum、Base、Blast、Berachainの一部財務を含むEVM展開のみを対象とし、Solanaの展開やProp AMMには影響しませんでした。Wasabi Protocolは、ユーザーへの最終的な補償計画はまだ決定されていないと述べましたが、すべての影響を受けたユーザーへの補償を最優先事項とし、調査の進捗については今後Discordコミュニティで共有される予定です。