Wasabi Protocol был взломан с помощью $5M через скомпрометированный ключ администратора на нескольких сетях

По данным PeckShield, Blockaid и CertiK, децентрализованная платформа деривативов Wasabi Protocol была взломана более чем на $5 миллионов в ходе скоординированной атаки, затронувшей Ethereum, Base, Berachain и Blast. Инцидент был вызван скомпрометированным ключом администратора, а не уязвимостью смарт-контракта. Злоумышленник использовал deployer-кошелёк протокола, чтобы обновить основные контракты и вывести средства из нескольких vault’ов.

BlockSec сообщил, что аккаунтам, пополненным через Tornado Cash, были выданы роли уровня администраторов, что позволило вести активность в LongPool, ShortPool и контрактах Vault Wasabi. Cyvers указала, что атакующий извлёк WETH, USDC, cbBTC и мемкоины, включая PEPE и MOG, после чего консолидировал средства в ether, перенёс их в Ethereum и распределил по нескольким адресам.