Cailleann Prótacal Wasabi $5M tar éis d’ionsaitheoir eochair riaracháin an imlonnaitheora a ghabháil ar fud 3 shlabhra

Príomhphointí:

• Dhraenáil ionsaitheoir $4.5M go $5.5M ó Wasabi Protocol trí eochair riaracháin EOA an imlonnaitheora a chur i mbaol ar 30 Aibreán, 2026.
• Reoigh Virtuals Protocol taiscí corrlaigh láithreach tar éis an tsáraithe, cé gur fhan a shlándáil féin slán go hiomlán.
• Níl ráiteas poiblí eisithe ag Wasabi Protocol; caithfidh úsáideoirí gach ceadú a chúlghairm ar fud Ethereum, Base, agus Blast.

Cailleann Prótacal DeFi Wasabi $5M i Sárú Eochair Riaracháin

Ba í an seoladh a cuireadh i mbaol, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, an t-aon eochair riaracháin a rialaigh conarthaí Perpmanager Wasabi. D’úsáid an t-ionsaitheoir é de réir tuairisce chun an ADMIN_ROLE a bhronnadh ar chonradh cúntóra mailíseach, agus ansin rinne sé uasghráduithe seachtracha UUPS proxy neamhúdaraithe ar phrocsaithe Wasabivault agus ar an Wasabilongpool sular scuab sé comhthaobhacht agus iarmhéideanna na linnte.

Chuir an gnólacht slándála Hypernative bratach ar an eachtra le foláirimh ard-dhianachta ar fud na dtrí shlabhra ar fad. Bhrath Blockaid, Cyvers, agus Defimonalerts an ghníomhaíocht i bhfíor-am freisin. Dheimhnigh Hypernative nach custaiméir de chuid Wasabi é ach gur aimsigh sé an sárú go neamhspleách agus gheall sé anailís theicniúil iomlán.

Thosaigh an t-ionsaí timpeall 07:48 UTC agus mhair sé thart ar dhá uair an chloig. Bhronn an t-imlonnaitheoir ADMIN_ROLE ar chonarthaí a bhí faoi smacht an ionsaitheora ar Ethereum, Base, agus Blast. Ansin ghlaoigh conradh mailíseach strategyDeposit() ar sheacht go hocht bprocsaithe WasabiVault, ag cur straitéise bhréige ar aghaidh a spreag feidhm drain() a thug an chomhthaobhacht ar fad ar ais don ionsaitheoir.

Uasghrádaíodh an Wasabilongpool ar Ethereum agus Base ina dhiaidh sin chuig cur i bhfeidhm mailíseach a scuab na hiarmhéideanna a bhí fágtha. Comhdhlúthaíodh cistí ina ETH, droicheadáladh iad nuair ba ghá, agus dáileadh iad ar fud ilsheoltaí. Luaigh tuairiscí luatha roinnt gníomhaíochta a bhí nasctha le Tornado Cash.

Ba é an caillteanas aonair is mó, de réir tuairisce, 840.9 WETH, arbh fhiú níos mó ná $1.9 milliún é tráth an ionsaithe. I measc na sócmhainní eile a draenáladh bhí sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN, agus bitcoin, chomh maith le sócmhainní ar shlabhra Base ar nós VIRTUAL, AERO, agus cbBTC. Sheas luach iomlán faoi ghlas (TVL) Wasabi ag thart ar $8.5 milliún ar fud slabhraí roimh an leasú, de réir sonraí Defillama.

Bhí teip i mbainistíocht eochracha i gceist, ní leochaileacht conartha cliste. Ní raibh aon reentrancy ná leasuithe loighce i gceist. Is dócha gur ghnóthaigh an t-ionsaitheoir an eochair phríobháideach trí fhiacháil (phishing), mailware, nó goid dhíreach, agus ansin bhain sé mí-úsáid as ailtireacht na bprocsaithe in-uasghrádaithe chun cistí a dhraenáil gan seiceálacha slándála traidisiúnta a spreagadh.

Bhog Virtuals Protocol, a chuir taiscí corrlaigh ar chumas trí Wasabi, go tapa tar éis don sárú a bheith braite. Rinne an fhoireann gach taisce corrlaigh a reo agus dhearbhaigh siad go raibh a slándáil féin slán go hiomlán. Lean trádáil, aistarraingtí, agus oibríochtaí gníomhairí ar Virtuals ar aghaidh gan bhriseadh. Thug an fhoireann rabhadh d’úsáideoirí gan aon idirbhearta a bhaineann le Wasabi a shíniú.

Ní raibh Wasabi Protocol tar éis ráiteas poiblí ná post maidir leis an eachtra a eisiúint de réir na sonraí is déanaí atá ar fáil. Tá cumarsáid thapa déanta ag an bprótacal roimhe seo le linn eachtraí neamhghaolmhara agus tá iniúchtaí aige ó Zellic agus Sherlock, ach sheachain an t-ionsaí seo na cosaintí sin go hiomlán.

Moltar d’úsáideoirí a bhfuil nochtadh acu gach ceadú Wasabi a chúlghairm ar fud Ethereum, Base, agus Blast láithreach. Is féidir le huirlisí cosúil le Revoke.cash, Etherscan, agus Basescan cabhrú le ceaduithe gníomhacha a aithint. Ba chóir aon suíomhanna LP atá fágtha a tharraingt siar gan mhoill, agus níor chóir aon idirbhearta a bhaineann le Wasabi a shíniú go dtí go ndeimhníonn an fhoireann rothlú eochracha agus sláine iomlán na gconarthaí.

Oireann an eachtra don phatrún atá le feiceáil ar fud DeFi in 2026: cruthaíonn conarthaí procsaithe in-uasghrádaithe péireáilte le heochracha riaracháin láraithe pointe aonair teipe a sheachnaíonn fiú cód atá iniúchta go maith. Nuair a rialaíonn eochair amháin ceadanna uasghrádaithe ar fud ilshlabhraí, éiríonn comhréiteach amháin ina eachtra ar fud an phrótacail.

Níor tharla an sárú Wasabi ina aonar. I mí Aibreáin 2026 draenáladh breis agus $600 milliún ó phrótacail DeFi thar thart ar dhosaen eachtra dheimhnithe, rud a fhágann go bhfuil sé ar cheann de na míonna is measa riamh don earnáil. Thosaigh an mhí ar 1 Aibreán nuair a dhraenáil ionsaitheoirí thart ar $285 milliún ó Drift Protocol ar Solana i níos lú ná 20 nóiméad trí ionramháil rialachais agus mí-úsáid oracle.

Tháinig dara buille mór timpeall 18 Aibreán nuair a bhuail leasú ar dhroichead Layerzero KelpDAO ar Ethereum, ag draenáil thart ar $292 milliún in rsETH agus ag spreagadh breis agus $10 billiún i dtarchur iarmhartach ar fud ardáin iasachtaithe, Aave san áireamh. Tharla buillí níos lú i rith na míosa ar Silo Finance, Cow Swap, Grinex, Rhea Finance, agus Aftermath Finance, i measc eile.

Tugann an patrún trasna beagnach gach eachtra le fios gur lú atá i gceist le fabhtanna ar leibhéal an chóid agus gur mó atá i gceist le comhréitigh eochracha riaracháin, laigí droichid, agus rioscaí procsaithe in-uasghrádaithe, ag nochtadh pointí rialaithe láraithe nach féidir le hiniúchtaí amháin a chosaint ina n-aghaidh.

Tá an staid le Wasabi fós gníomhach. Ba chóir d’úsáideoirí faire ar an gcuntas oifigiúil @wasabi_protocol agus ar shreafaí na ngnólachtaí slándála le haghaidh nuashonruithe.