5 millones de dólares por una sola configuración: Wasabi Protocol investiga un ciberataque a sus sistemas
Un fallo en Wasabi Protocol golpeó las carteras de los inversores.
La plataforma Wasabi Protocol perdió millones de dólares en cuestión de minutos, y la causa no fue una vulnerabilidad compleja, sino un error banal en la gestión de accesos.
El servicio descentralizado para el comercio de derivados perdió más de $5 millones. El ataque afectó de inmediato a varias redes, incluidas Ethereum, Base, Berachain y Blast. Según Blockaid y CertiK, el atacante obtuvo el control de la clave de administrador. A través de ella se logró actualizar contratos inteligentes y retirar fondos. Acceso se realizó a través de la billetera Wasabi Deployer, que otorgó control total sobre los componentes principales del sistema.
Todos los tokens de participación de liquidez Wasabi y Spicy, emitidos a través de los almacenamientos afectados, ya no pueden considerarse confiables. Los activos respaldados por esos tokens ya han sido retirados o siguen en riesgo. Según datos de BlockSec, en el ataque podrían haber participado direcciones que fueron financiadas a través del servicio Tornado Cash. Esas direcciones obtuvieron roles administrativos y se usaron en los contratos LongPool, ShortPool y Vault dentro de Wasabi Protocol.
El servicio Cyvers precisó que el atacante retiró varios activos, entre ellos WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO y VIRTUAL. Tras el robo, los fondos se convirtieron a ether, luego se enviaron a la red Ethereum y se repartieron entre varias direcciones.
La situación resultó ilustrativa. El problema no surgió por un error en el código, sino por cómo se organizó la gobernanza del sistema. En Wasabi ya se implementó un mecanismo de demora antes de activar los permisos administrativos, que debería dar tiempo para detectar acciones sospechosas. Pero la demora se fijó en cero, dejando la protección prácticamente desactivada. Al final, una sola clave fue suficiente para tomar el control del protocolo con decenas de millones de dólares de fondos de los usuarios.
Tras el incidente, Virtuals Protocol afirmó que sus sistemas no resultaron afectados, pero congeló temporalmente los depósitos de margen relacionados con Wasabi. El equipo de Wasabi Protocol reconoció el problema y pidió a los usuarios que no interactúen con los contratos hasta nuevos avisos.
El ataque a Wasabi fue parte de una serie de grandes hackeos en las finanzas descentralizadas. En el último mes los atacantes comprometieron más de 25 proyectos y retiraron más de $600 millones. El mayor incidente afectó a Kelp DAO, donde las pérdidas fueron de aproximadamente $292 millones.