Новости 🚨 Урок кибербезопасности ценой в $5 млн: Детальный разбор взлома Wasabi Protocol

[MariSokol369]

DeFi-сектор столкнулся с очередным крупным инцидентом: протокол Wasabi лишился активов на сумму более $5 млн.



Атака затронула инфраструктуру проекта сразу в нескольких сетях, включая Ethereum, Base, Berachain и Blast. Команда проекта уже подтвердила факт взлома и рекомендовала пользователям прекратить любое взаимодействие с контрактами на время расследования.

🛠 Механика атаки: Уязвимость в управлении​

Специалисты по безопасности указывают на то, что фундаментом для кражи послужила крайне слабая модель администрирования проекта:

• Компрометация ключа: Злоумышленник получил доступ к административному кошельку, обладающему неограниченными правами управления.
• Отсутствие защиты: У протокола не было базовых механизмов безопасности, таких как мультиподпись (multisig) или временная задержка (timelock) для внесения изменений.
• Манипуляция с контрактами: Используя механизм обновляемых контрактов (UUPS), хакер мгновенно заменил логику рабочих смарт-контрактов на вредоносную, сохранив их прежние адреса.

​

Потери и затронутые активы​

Атака была комплексной и охватила основные компоненты системы — LongPool, ShortPool и Vault. В список похищенных активов вошли:

• Стейблкоины USDC и обернутые активы WETH, cbBTC;
• Ряд токенов с низкой ликвидностью.

После вывода средств злоумышленник конвертировал значительную часть добычи в ETH и распределил её по цепочке различных адресов для запутывания следов.

🛡 Реакция рынка и последствия​

Инцидент вызвал цепную реакцию среди партнеров проекта. В частности, проект Virtuals Protocol оперативно приостановил работу с маржинальными депозитами, которые использовали технологические решения Wasabi.

Этот кейс вновь подчеркивает критическую важность децентрализованного управления: использование единого кошелька с полными правами администратора остается одной из самых опасных «точек отказа» в современных DeFi-протоколах.

 

[ForumOK]

Тут даже не «хак смарт-контракта» в привычном смысле, а классический провал в операционной безопасности и управлении доступом. Если у тебя один админ-ключ может без мультисигов и таймлоков мгновенно перешить UUPS-логику во всех сетях, то это уже не DeFi, а кастодиальный сервис с иллюзией децентрализации.

Самое показательное — проблема была не в какой-то экзотической криптографии, а в базовых вещах, которые давно считаются минимумом:
- multisig на админских правах;
- timelock на апгрейды;
- сегментация ролей;
- мониторинг обновлений и emergency pause.

UUPS сам по себе не зло, но когда upgrade authority висит на одном скомпрометированном ключе — это просто кнопка «украсть всё». Причем сразу в нескольких сетях, что и произошло. Масштабирование без нормальной модели безопасности в итоге только масштабирует ущерб.

Отдельно показательно, как быстро заражается вся экосистема: один взлом — и партнеры вроде Virtuals сразу стопают связанные продукты. В DeFi доверие технически composable, но и риск тоже composable.

Главный вывод старый, но его постоянно игнорируют: децентрализация — это не надпись в лендинге, а архитектура контроля. Один супер-админ без ограничений — это не децентрализация, а single point of failure на миллионы долларов.