Wasabi Protocol is getroffen door een multi-chain exploit ter waarde van meer dan $5 miljoen, volgens blockchain-beveiligingsbedrijven. De aanval trof Ethereum, Base, Berachain en Blast.
PeckShield zei dat de exploit zich richtte op Wasabi Protocol over verschillende netwerken. De getroffen ketens omvatten Ethereum, Base, Berachain en Blast.
Beveiligingsbedrijven zeiden dat de aanval meer dan $5 miljoen wegsluisde van het DeFi-derivatenplatform. Het incident draagt bij aan een scherpe stijging van DeFi-exploits die deze maand zijn gemeld.
Blockaid en CertiK zeiden dat de aanvaller een gecompromitteerde admin-sleutel gebruikte. De sleutel gaf bevoorrechte toegang via de Wasabi deployer-wallet.
De aanvaller upgradeerde vervolgens kerncontracten en sluisde fondsen weg. BlockSec zei dat vroege sporen aantonen dat accounts gefinancierd door Tornado Cash admin-gerelateerde rollen kregen.
Blockaid waarschuwde: “Alle Wasabi/Spicy LP-aandeeltokens die door deze vaults zijn gemint, moeten als GECOMPROMITTEERD worden beschouwd.”
Cyvers zei dat de aanvaller verschillende activa heeft geëxtraheerd, waaronder WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO en VIRTUAL.
Het beveiligingsbedrijf zei dat de gestolen fondsen werden geconsolideerd in ETH. Ze werden vervolgens naar Ethereum overbrugd en verdeeld over verschillende adressen.
Wasabi Protocol zei op de hoogte te zijn van het probleem en het te onderzoeken. Het team waarschuwde gebruikers om tot nader order niet met Wasabi-contracten te interageren.
Het team zei: “Als voorzorgsmaatregel, gelieve tot nader order niet met Wasabi-contracten te interageren.”
Virtuals Protocol zei dat de beveiliging intact blijft. Het heeft echter als voorzorgsmaatregel marge-stortingen, aangedreven door Wasabi Protocol, bevroren.
Het incident vindt plaats tijdens een van de slechtste maanden voor DeFi-beveiliging. Meer dan 25 protocollen zouden meer dan $600 miljoen hebben verloren, aangevoerd door de $292 miljoen Kelp DAO exploit.
