Протокол Wasabi зазнав масштабного злому, втративши понад 5,5 мільйона доларів на чотирьох блокчейнах: Ethereum, Base, Blast та Berachain.
Експлойт стався через вразливості, однак проведені на сьогодні розслідування підтверджують, що він не був пов'язаний із жодною слабкістю коду власних смартконтрактів протоколу. Натомість злом стався через скомпрометований гаманець деплоєра, що виявило одну з найбільш стійких слабкостей DeFi (Децентралізованих фінансів): надмірну залежність від централізованого управління.
Аналітики з безпеки помітили інцидент майже одразу, зафіксувавши, що атака розгорталася швидко та застосовувала однаковий метод на кожному з підтримуваних ланцюгів. Подія викликала значний інтерес серед учасників криптоспільноти, які вважають її яскравим прикладом того, як вразливості, не пов'язані з кодом, можуть завдати серйозної шкоди.
Зловживання правами адміністратора в ході атаки
Атака скористалася адміністративними правами дуже систематично. Спочатку зловмисники скомпрометували головну роль, яка керувала цілою низкою динамічних вузлів, що можуть створюватися тими, хто має до них доступ.
Використовуючи цей доступ, зловмисник викликав grantRole, миттєво надавши шкідливому новому контракту права адміністратора. Ключовою особливістю цієї операції було те, що вона обійшла всі захисти від затримок, оскільки система дозволяла призначення ролей без будь-якого таймлоку.
Отримавши адміністративний контроль, зловмисник розгорнув контракт-оркестратор, який послідовно викликав стратегічний депозит для кожного зі сховищ. Оскільки контракт тепер мав привілеї рівня адміністратора, єдиний модифікатор адміністратора, призначений для обмеження доступу, став неефективним.
Це дозволило зловмиснику виводити активи безпосередньо зі сховищ, переказуючи кошти на EOA на всіх чотирьох ланцюгах. Швидкість і точність атаки свідчать про те, що зловмисники вже були обізнані з архітектурою системи та її вразливостями.
Негайні заходи з відновлення для відключення скомпрометованого доступу
Згодом були вжиті ончейн заходи для швидкого відключення дозволів скомпрометованого ключа. Усі важливі ролі (наприклад, ADMIN, а також ідентифікатори ролей 100, 101, 102 і 103) були видалені з оригінального скомпрометованого гаманця деплоєра. Це повністю усунуло будь-який залишковий адміністративний доступ зловмисника до протоколу. В результаті цей вектор атаки було заблоковано.
Аналітики зазначають, що скомпрометований ключ більше не може бути використаний для будь-яких подальших несанкціонованих операцій, що стало важливим кроком у зупинці інциденту. Проте, незважаючи на повернення доступу, викрадені кошти досі залишаються в гаманцях зловмисників на цих ланцюгах, і на даний момент варіантів для їх повернення активів немає.
Користувачі протоколу залишилися з LP-токенами, які нічого не коштують, і зараз чекають на оголошення плану компенсації. Злом мав колосальний вплив на користувачів. У цьому випадку токени часток постачальника ліквідності (LP), що досі перебувають у гаманцях користувачів, були позбавлені своєї вартості — принаймні тимчасово — оскільки активи у сховищах були виведені.
Команда протоколу Wasabi підтвердила інцидент і повідомила, що розслідування тривають. До подальшого повідомлення користувачам наполегливо рекомендується уникати використання будь-яких контрактів Wasabi для обмеження додаткових ризиків. Компанії з безпеки, такі як SEAL 911 та Blockaid, безпосередньо співпрацюють із командою протоколу, щоб з'ясувати масштаби збитків і окреслити заходи з усунення наслідків. Наразі спільнота очікує інформації про план компенсації, який матиме вирішальне значення для відновлення довіри та допомоги користувачам у відшкодуванні втрат.
Virtuals Protocol реагує заморожуванням функцій, пов'язаних із Wasabi
Експлойт неодноразово завдавав шкоди пов'язаним платформам, серед яких — Virtuals Protocol, що використовує інфраструктуру Wasabi для певних систем.
Virtuals Protocol швидко відреагував, заморозивши маржинальні депозити, пов'язані з Wasabi. Вони вжили запобіжних заходів і забезпечили продовження роботи основних операцій: торгівлі, зняття коштів та функцій агентів.
Оскільки ситуація продовжує розгортатися, користувачів попереджають ніколи не підписувати жодних транзакцій, що стосуються Wasabi. Команда наголосила, що ці обмеження є тимчасовими і залишатимуться в силі до тих пір, поки вони не зможуть гарантувати цілісність upstream-систем.
ZachXBT критикує відсутність базових засобів захисту безпеки
Експлойт спровокував нові дискусії про зрілість практик безпеки в DeFi (Децентралізованих фінансах) на тлі постійних запитань щодо використання адміністративних засобів контролю. Експерт з аналізу блокчейну ZachXBT ставить під сумнів обґрунтованість надання єдиному акаунту зовнішнього власника (EOA) такого широкого загального контролю без базових засобів захисту, як мультипідпис, та без можливості встановлення таймлоку.
Його критика вказує на більш широку тенденцію в галузі: смартконтракти регулярно проходять масштабні аудити, однак повсякденні структури безпеки та управління часто залишаються вразливими цілями.
Кількість некодових експлойтів зростає цього квітня
Інцидент із Wasabi є яскравим прикладом того, що ми спостерігали протягом усього квітня: появи масштабних експлойтів, що виникають не через недоліки смартконтрактів, а через проблеми в адміністративній безпеці.
Логіка контракту в цьому випадку працювала так, як і передбачалося. Модель довіри зазнала збою — все просто: у цьому випадку S1 використовував єдиний адміністративний ключ для контролю upstream без жодних додаткових рівнів захисту.
Ця закономірність свідчить про зміни в ландшафті загроз. Зловмисники дедалі рідше намагаються зламати код, який важко скомпрометувати, і все більше йдуть шляхом найменшого опору, зосереджуючись на вразливостях управління та операційних вразливостях.
Урок для розробників і протоколів полягає в тому, що безпека виходить за межі аудиту коду та передбачає забезпечення суворих політик управління ключами, засобів контролю доступу та механізмів аварійного захисту.
З продовженням розслідувань і появою нових деталей експлойт Wasabi, ймовірно, стане важливим прикладом зростаючих ризиків, з якими стикаються децентралізовані фінанси.
Застереження: це не є торговою або інвестиційною порадою. Завжди проводьте власне дослідження перед купівлею будь-якої криптовалюти або інвестуванням у будь-які послуги.
Стежте за нами у Twitter @nulltxnews , щоб бути в курсі останніх новин про криптовалюти, NFT, AI, кібербезпеку, розподілені обчислення та метавсесвіт!
Source: https://nulltx.com/wasabi-protocol-exploit-drains-5-5m-across-four-chains-as-compromised-admin-key-exposes-critical-security-flaw/
