Das Wasabi Protocol hat einen Admin-Key-Hack erlitten, bei dem mehr als 5 Millionen USD aus den perpetuals vaults und dem LongPool auf Ethereum, Base, Berachain und Blast abgezogen wurden, berichteten die auf On-Chain-Sicherheit spezialisierten Unternehmen Blockaid und PeckShield.
Der Angreifer verschaffte sich ADMIN_ROLE über die Deployer-Wallet des Protokolls und spielte dann eine bösartige Version der Vaults ein, die die Guthaben der Nutzer abzog. Bis zur letzten Zählung wurden rund 4,55 Millionen USD entnommen. Die Untersuchung läuft weiterhin.
Single-Key-Fehler als Ursache für den Vorfall
Blockaid identifizierte die Ursache bei wasabideployer.eth, der einzigen Adresse mit ADMIN_ROLE im PerpManager AccessManager von Wasabi.
Der Angreifer rief grantRole auf dem deployer EOA ohne Verzögerung auf und machte so seinen orchestrator contract sofort zum Admin.
„Wir sind uns des Problems bewusst und ermitteln aktiv. Bitte interagieren Sie aus Vorsicht derzeit nicht mit Wasabi-Verträgen”, teilte das Wasabi Protocol den Nutzern mit.
Anschließend aktualisierte der Angreifer die perpetual vaults und den LongPool per UUPS auf eine bösartige Version, die Bestände abgezogen hat.
Der Deployer-Key ist weiterhin aktiv. Wasabi- und Spicy-LP-Share-Token aus betroffenen Vaults wurden als kompromittiert markiert und sind nahezu wertlos.
Blockaid stellte fest, dass derselbe Angreifer, orchestrator und dieselben Strategy-Bytecodes bereits bei früheren Aktivitäten gegen Wasabi genutzt wurden.
Das Muster erinnert an frühere Admin-Key-Zwischenfälle und verweist zudem auf die einseitige Admin-Struktur ohne Timelocks oder Multisig. PeckShield schätzt die Gesamtschäden auf über 5 Millionen USD auf allen vier betroffenen Blockchains.
KI-Hacker-Theorie erhält neuen Auftrieb
Unterdessen erfolgt der Vorfall nur wenige Stunden nach drei weiteren Angriffen zwischen Dienstag und Mittwoch. BeInCrypto berichtete über die Angriffswelle am Dienstag, darunter:
- 3,46 Millionen USD Abzug bei Sweat Economy, der sich später als Rettungsaktion der Foundation und nicht als Hack herausstellte.
- Syndicate Commons Bridge auf Base hat 18,5 Millionen SYND-Token im Wert von 330.000 bis 400.000 USD verloren. Die Erlöse wurden zur Ethereum-Blockchain übertragen.
- Aftermath Finance hat sein Perpetual-Protocol pausiert, nachdem etwa 1,14 Millionen USDC verloren gingen.
Vor diesem Hintergrund diskutieren Analysten über KI-Risiken und weisen auf das asymmetrische Verhältnis zwischen Werkzeugen der Angreifer und Protokoll-Schutzmechanismen hin.
In diesem Zusammenhang brachte Entwickler Vitto Rivabella die Theorie auf, dass Nordkorea eine eigene KI auf Basis von jahrelang entwendeten DeFi-Daten trainiert hat.
Er vermutet, dass dieses Modell nun als autonomer Angreifer operative Protokolle schneller ausräumt, als menschliche Prüfer reagieren können.
„Wilde Verschwörungstheorie zu den aktuellen DeFi-Hacks: Nordkorea hat mithilfe der riesigen Menge an über die letzten 10 Jahre durch DeFi-Hacks erbeuteten Daten mit staatlichen Mitteln ein eigenes Mythos-Modell trainiert. Jetzt lassen sie ihren KI-DeFi-Hacker einfach laufen und werden nicht aufhören, bis jemand sie aufhält”, schrieb Rivabella.
Unabhängig davon, ob KI tatsächlich die jüngste Serie an Angriffen steuert oder nicht, bieten Single-Key-Adminrollen Angreifern stets eine leicht erkennbare Angriffsmöglichkeit.
