Wasabi Protocol mengalami kompromi kunci admin yang menyebabkan kerugian lebih dari US$5 juta dari vault perpetual dan LongPool di Ethereum, Base, Berachain, serta Blast, seperti dilaporkan oleh perusahaan keamanan on-chain Blockaid dan PeckShield.
Penyerang mendapatkan ADMIN_ROLE melalui wallet deployer milik protokol, lalu melakukan upgrade pada vault ke implementasi berbahaya yang menyedot saldo pengguna. Sekitar US$4,55 juta sudah berhasil diambil, dan proses investigasi masih berjalan.
Kegagalan Satu Kunci Jadi Penyebab Peretasan
Blockaid menelusuri sumber masalah ini ke alamat wasabideployer.eth, satu-satunya alamat yang memegang ADMIN_ROLE di Wasabi’s PerpManager AccessManager.
Penyerang memakai fungsi grantRole pada deployer EOA tanpa jeda waktu, sehingga kontrak orchestrator milik penyerang langsung menjadi admin secara instan.
“Kami menyadari adanya isu ini dan sedang melakukan investigasi secara aktif. Untuk upaya pencegahan, mohon jangan lakukan interaksi apapun dengan kontrak Wasabi sampai ada pemberitahuan lebih lanjut,” ujar Wasabi Protocol kepada para pengguna.
Setelah itu, penyerang melakukan upgrade UUPS pada vault perpetual dan LongPool ke implementasi berbahaya yang menguras saldo.
Kunci deployer masih aktif hingga kini. Token Wasabi dan Spicy LP-share dari vault yang terdampak telah ditandai kompromi dan nilai penebusannya hampir nol.
Blockaid menjelaskan, penyerang, orchestrator, dan bytecode strategi yang sama juga pernah digunakan dalam insiden sebelumnya yang menargetkan Wasabi.
Pola ini mengingatkan pada insiden kunci admin sebelumnya, dan menunjukkan kelemahan sistem admin dengan satu EOA tanpa timelock maupun multisig. PeckShield menghitung total kerugian sudah melebihi US$5 juta di keempat chain yang terdampak.
Teori Peretas AI Mendapat Angin Segar
Insiden ini terjadi hanya beberapa jam setelah tiga serangan lain antara Selasa dan Rabu. BeInCrypto melaporkan rangkaian serangan Selasa tersebut yang terdiri dari:
- Kehilangan dana Sweat Economy senilai US$3,46 juta yang ternyata merupakan aksi penyelamatan dari foundation, bukan aksi peretasan.
- Syndicate Commons bridge di Base kehilangan 18,5 juta token SYND dengan nilai antara US$330.000 hingga US$400.000. Hasil serangan dipindahkan ke Ethereum.
- Aftermath Finance menghentikan protokol perpetual mereka setelah kehilangan sekitar US$1,14 juta USDC.
Di tengah rentetan serangan ini, para analis mulai membahas kekhawatiran terkait AI, dengan menyoroti ketidakseimbangan antara alat milik penyerang dan pertahanan protokol.
Pada pembahasan yang sama, pengembang Vitto Rivabella melontarkan teori bahwa Korea Utara melatih model AI internal dengan data DeFi hasil curian selama bertahun-tahun.
Ia berpendapat bahwa model tersebut kini beroperasi sebagai penyerang otonom, yang bisa menguras protokol jauh lebih cepat dibandingkan ketangkasan tim audit manusia dalam menutupi celah.
“Teori konspirasi liar soal peretasan DeFi baru-baru ini: Korea Utara telah melatih versi Mythos mereka sendiri yang didanai negara, menggunakan data besar hasil meretas protokol DeFi selama 10 tahun terakhir. Kini mereka membiarkan ‘AI DeFi hacker’ mereka berkeliaran bebas dan tidak akan berhenti mengeruk keuntungan sampai ada yang menghentikannya,” tulis Rivabella.
Apakah AI yang memegang kendali atas rentetan exploit akhir-akhir ini atau tidak, admin role bermodel satu kunci tetap saja memberikan celah nyata bagi para penyerang.
