Wasabi Protocol drabbades av ett admin-nyckelangrepp där över 5 miljoner USD försvann från de perpetual vaults och LongPool på Ethereum, Base, Berachain och Blast, enligt on-chain-säkerhetsföretagen Blockaid och PeckShield.
Angriparen fick ADMIN_ROLE genom att använda protokollets deployer-plånbok och uppdaterade sedan vaults till en skadlig version som tömde användarnas saldon. Cirka 4,55 miljoner USD fördes bort vid senaste räkning, och utredningen pågår fortfarande.
Enkel nyckel orsakade intrånget
Blockaid spårade orsaken till wasabideployer.eth, som var enda adressen med ADMIN_ROLE i Wasabi PerpManager AccessManager.
Angriparen använde grantRole på deployer EOA utan fördröjning och förvandlade direkt sin orchestrator-kontrakt till admin.
“Vi känner till problemet och undersöker aktivt. Som försiktighetsåtgärd, interagera inte med Wasabi-kontrakt tills vidare,” uppmanade Wasabi Protocol sina användare.
Därifrån uppgraderade angriparen UUPS perpetual vaults och LongPool till en skadlig version som tömde saldon.
Deployer-nyckeln är fortfarande aktiv. Wasabi- och Spicy LP-aktie-tokens från de drabbade vaults är markerade som komprometterade, och inlösenvärdet är nära noll.
Blockaid påpekade att samma angripare, orchestrator och bytekod för strategy kopplar detta intrång till tidigare attacker mot Wasabi.
Mönstret liknar tidigare admin-nyckelincidenter och visar riskerna med admin-roller via enskild EOA, utan timelock eller multisig. PeckShield uppskattar de totala förlusterna till över 5 miljoner USD på fyra kedjor.
AI-hackarteorin får nytt liv
Samtidigt inträffade incidenten bara några timmar efter tre andra attacker mellan tisdag och onsdag. BeInCrypto rapporterade om tisdagens attackvåg som omfattade:
- Sweat Economy tömdes på 3,46 miljoner USD men det visade sig vara en räddningsinsats av stiftelsen, inte en hack.
- Syndicate Commons bridge på Base förlorade 18,5 miljoner SYND-tokens, värda 330 000 till 400 000 USD som skickades till Ethereum.
- Aftermath Finance pausade sitt perpetual-protokoll efter att ha förlorat cirka 1,14 miljoner USDC.
Mot denna bakgrund pratar analytiker om AI-relaterade risker eftersom angriparna har mer avancerade verktyg än protokollets försvarare.
I samma spår lade utvecklaren Vitto Rivabella fram en teori om att Nordkorea tränade en egen AI på många års stulen DeFi-data.
Han menade att modellen nu fungerar självständigt och angriper protokoll snabbare än mänskliga revisorer kan åtgärda dem.
“Galna konspirationsteorin om de senaste DeFi-attackerna: Nordkorea har tränat en statsfinansierad version av Mythos med enorma mängder data de fått genom hack av DeFi-protokoll under de senaste 10 åren. Nu låter de bara sin AI-DeFi-hackare agera fritt och tjänar pengar tills någon stoppar dem,” skrev Rivabella.
Oavsett om AI ligger bakom den senaste serien attacker eller inte, ger enkel admin-nyckel fortfarande angripare en tydlig väg in.
