Secondo quanto riportato dalle società di sicurezza on-chain Blockaid e PeckShield, Wasabi Protocol ha subito una violazione della chiave amministrativa che ha sottratto oltre 5 milioni di dollari dai suoi caveau perpetui e da LongPool su Ethereum, Base, Berachain e Blast.
L'attaccante ha ottenuto il ruolo di amministratore (ADMIN_ROLE) tramite il wallet del gestore del protocollo, per poi aggiornare i vault con un'implementazione dannosa che ha sottratto i saldi degli utenti. Secondo le ultime stime, sono stati sottratti circa 4,55 milioni di dollari e le indagini sono tuttora in corso.
Un singolo errore chiave alla base della violazione
Blockaid ha individuato la causa principale in wasabideployer.eth, l'unico indirizzo che detiene il ruolo ADMIN_ROLE in PerpManager AccessManager di Wasabi.
L'attaccante ha chiamato grantRole sull'EOA del deployer senza alcun ritardo, trasformando istantaneamente il suo contratto orchestratore in un contratto amministratore.
"Siamo a conoscenza di un problema e lo stiamo esaminando attivamente. A titolo precauzionale, vi preghiamo di non interagire con i contratti Wasabi fino a nuovo avviso", ha esortato Wasabi Protocol gli utenti.
Da lì, l'attaccante ha aggiornato i vault perpetui e il LongPool con un'implementazione dannosa che ha prosciugato i saldi.
La chiave di distribuzione rimane attiva. I token Wasabi e Spicy LP-share provenienti dai vault interessati sono segnalati come compromessi, con un valore di riscatto prossimo allo zero.
Blockaid ha rilevato che lo stesso aggressore, lo stesso orchestratore e lo stesso bytecode della strategia collegano questo incidente ad attività precedenti che avevano preso di mira Wasabi.
Lo schema ricalca precedenti incidenti con chiavi di amministrazione e riflette configurazioni di amministrazione con un singolo EOA, senza timelock o firme multiple. PeckShield ha stimato perdite totali superiori a 5 milioni di dollari per tutte e quattro le blockchain interessate.
La teoria dell'IA-hacker acquista nuova linfa vitale
Nel frattempo, l'incidente si verifica solo poche ore dopo altri tre attacchi avvenuti tra martedì e mercoledì. BeInCrypto ha riportato la serie di attacchi di martedì , che comprende:
- La truffa da 3,46 milioni di dollari di Sweat Economy, che si è rivelata essere un salvataggio da parte di una fondazione, non un attacco informatico.
- Il bridge Syndicate Commons su Base ha perso 18,5 milioni di token SYND, per un valore compreso tra 330.000 e 400.000 dollari. I proventi sono stati trasferiti su Ethereum.
- Aftermath Finance ha sospeso il suo protocollo sui contratti perpetui dopo aver perso circa 1,14 milioni di dollari in USDC.
In questo contesto, gli analisti sollevano preoccupazioni riguardo all'intelligenza artificiale, citando la dinamica asimmetrica tra gli strumenti degli aggressori e le difese dei protocolli.
Sulla stessa linea di pensiero, lo sviluppatore Vitto Rivabella ha avanzato la teoria secondo cui la Corea del Nord avrebbe addestrato un'intelligenza artificiale interna utilizzando per anni dati DeFi rubati.
Ha suggerito che il modello ora opera come un sistema di sfruttamento autonomo, prosciugando i protocolli più velocemente di quanto i revisori umani riescano a correggerli.
"Una folle teoria del complotto sui recenti attacchi hacker alla DeFi: la Corea del Nord avrebbe addestrato una propria versione di Mythos, finanziata dallo stato, utilizzando l'enorme quantità di dati ottenuti violando i protocolli DeFi negli ultimi 10 anni. Ora starebbero semplicemente lasciando libero il loro hacker DeFi basato sull'intelligenza artificiale e non smetteranno di incassare finché qualcuno non li fermerà", ha scritto Rivabella.
Che l'intelligenza artificiale stia guidando o meno la recente ondata di attacchi , i ruoli di amministratore con un solo tasto continuano a offrire agli aggressori un'evidente falla di sicurezza.
L'articolo Wasabi Protocol $5 Million Exploit Accelerates AI-Driven DeFi Hacker Theory è apparso per la prima volta su BeInCrypto .