30 апреля проект Wasabi подвергся хакерской атаке. По оценкам аналитиков PeckShield, ущерб от взлома превысил 5 миллионов долларов США.
При этом специалисты CertiK назвали более высокую сумму потерь — около 5,5 миллиона долларов США.
Атака затронула активы в нескольких сетях, включая Ethereum, Base, Berachain и Blast.
По данным Blockaid, злоумышленник получил контроль над административным ключом и через специальный кошелек Wasabi назначил собственную версию смарт-контракта управляющей. После этого, используя механизм обновления UUPS, он изменил внутреннюю логику хранилищ протокола и вывел средства.
Основатель SlowMist под псевдонимом Cos указал на уязвимости в системе защиты. По его словам, управление хранилищами осуществлялось через один EOA-адрес без мультиподписи, таймлока или DAO, что позволило злоумышленнику без труда скомпрометировать приватный ключ.
По информации проекта Cyvers, хакер смог выкрасть ряд активов, включая WETH, PEPE, MOG, USDC, ZYN, REKT, cbBTC, AERO и VIRTUAL, после чего конвертировал их в ETH и распределил по нескольким адресам.