NEWS

Wasabi Protocol Merugi Lebih dari $5 Juta Akibat Eksploitasi Kunci Admin

Coin Plurk

Sumber Terverifikasi

30 Apr 2026

RINGKASAN

Judul: Wasabi Protocol Merugi Lebih dari $5 Juta Akibat Eksploitasi Kunci Admin

Kategori: NEWS

Penulis: Coin Plurk

Tanggal Terbit: 30 Apr 2026

RINGKASAN: Kebocoran kunci admin senilai lebih dari $5 juta menguras brankas abadi Wasabi Protocol di empat rantai, mengakhiri apa yang disebut analis sebagai bulan terburuk dalam sejarah DeFi.

Detail

Apa Yang Terjadi

Protokol on-chain perpetual futures Wasabi diretas pada 30 April 2026, dengan penyerang menguras lebih dari $5 juta di jaringan Ethereum, Base, Berachain, dan Blast, sebagaimana dilaporkan oleh firma keamanan blockchain PeckShield.

Penyerang memperoleh ADMIN_ROLE melalui dompet deployer protokol — yang diidentifikasi sebagai wasabideployer.eth, satu-satunya alamat yang memegang peran tersebut dalam AccessManager PerpManager Wasabi — kemudian meningkatkan (upgrade) vault ke implementasi berbahaya yang menyedot saldo pengguna. Sekitar $4,55 juta telah diekstraksi pada hitungan awal, dengan investigasi yang masih aktif.

Wasabi mengakui insiden tersebut di X, mendesak pengguna untuk menghindari penggunaan protokol selama investigasi sedang berlangsung, dan mengonfirmasi bahwa mereka telah melibatkan penanggap keamanan on-chain profesional, termasuk SEAL 911 dan Blockaid.

We're aware of an issue and are actively investigating.

As a precaution, please do not interact with Wasabi contracts until further notice.

We'll share an update as soon as we have more information. Thanks for your patience.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026

Bagaimana Serangan Tersebut Dieksekusi

Serangan itu dilakukan melalui mekanisme yang dikenal sebagai eksploitasi upgrade UUPS. Setelah menguasai akun deployer, penyerang menginisiasi pembaruan kontrak yang mengganti kode aman dengan logika berbahaya, mengalihkan dana dari vault dan liquidity pool ke alamat mereka sendiri. Karena protokol tersebut tidak memiliki mekanisme timelock, perubahan diimplementasikan secara instan — sehingga tidak ada jeda waktu bagi pengembang atau pengguna untuk melakukan intervensi.

Detail teknis utama dari pelanggaran tersebut:

Penyerang memanggil grantRole pada EOA deployer dengan penundaan nol, secara instan mengubah kontrak orchestrator mereka menjadi admin.
Token LP-share Wasabi dan Spicy dari vault yang terkena dampak ditandai sebagai terkompromi, dengan nilai penebusan mendekati nol.
Blockaid mencatat bahwa alamat penyerang, kontrak orchestrator, dan bytecode strategi yang sama mengaitkan insiden ini dengan aktivitas sebelumnya yang menargetkan Wasabi.
Tidak ada perlindungan seperti otorisasi multi-signature atau penundaan waktu (time delays) untuk mencegah eksekusi tindakan berbahaya secara langsung.

April 2026: Bulan Terburuk DeFi Sepanjang Sejarah

Eksploitasi Wasabi tidak terjadi secara terisolasi. Peretasan ini menutup bulan yang brutal bagi DeFi, yang ditandai oleh dua eksploitasi besar dan lebih dari dua puluh insiden kecil. Mantan kepala DeFi di Monad mencatat di X bahwa April 2026 mengakibatkan kerugian sekitar $635 juta di 28 insiden dalam 30 hari.

Dua insiden terbesar di bulan ini adalah:

Drift Protocol — Pada 1 April, bursa perpetuals berbasis Solana menderita arus keluar sekitar $270 juta yang mencakup lebih dari 15 jenis token berbeda, dalam apa yang dilaporkan sebagai operasi yang terkait dengan negara Korea Utara yang telah dipersiapkan selama enam bulan.
Kelp DAO — Pada 18 April, penyerang yang diduga didukung oleh negara Korea Utara mengeksploitasi bridge LayerZero, memalsukan pesan cross-chain yang memungkinkan pencetakan 116.500 rsETH tanpa ada aset yang dikunci di sisi sumber. Penyerang kemudian menyetorkan rsETH tanpa jaminan tersebut ke Aave sebagai agunan dan meminjam sekitar $236 juta dalam bentuk WETH asli.

Respons terhadap insiden Kelp mencakup upaya kolektif yang belum pernah terjadi sebelumnya di antara protokol DeFi dan individu, yang dijuluki DeFi United, yang telah mengumpulkan lebih dari $300 juta untuk memulihkan jaminan rsETH Kelp.

Teori Hacker-AI

Frekuensi dan presisi eksploitasi baru-baru ini telah memperbaharui perdebatan tentang alat yang digunakan penyerang. Pengembang Vitto Rivabella secara publik melontarkan teori bahwa Korea Utara melatih model AI internal pada data DeFi yang dicuri selama bertahun-tahun, menunjukkan bahwa model tersebut kini beroperasi sebagai pengeksploitasi otonom yang menguras protokol lebih cepat daripada yang bisa ditambal oleh peninjau manusia. Meskipun belum terverifikasi, hipotesis ini mencerminkan kekhawatiran yang berkembang di komunitas keamanan tentang keunggulan asimetris yang mungkin dimiliki penyerang atas tim pertahanan protokol.

Apa Yang Harus Dilakukan Pengguna Sekarang

Tim keamanan mendesak individu yang terdampak untuk mencabut (revoke) semua izin smart contract yang terkait dengan protokol sebagai langkah awal yang krusial. Alat seperti Revoke.cash dapat membantu menghapus akses yang sebelumnya diberikan ke kontrak yang terkompromi. Pengguna harus menghindari berinteraksi dengan tautan mencurigakan atau program pemulihan tidak resmi dan hanya memantau pengumuman resmi yang terverifikasi.

Terlepas dari apakah AI mempercepat gelombang eksploitasi saat ini atau tidak, insiden Wasabi memperjelas satu masalah struktural: arsitektur admin kunci tunggal (single-key) tanpa timelock atau kontrol multi-signature tetap menjadi salah satu kerentanan yang paling mudah dieksploitasi di DeFi saat ini.

Diterbitkan oleh Coinplurk.com

Diskusi Komunitas

0 Balasan

Silakan masuk untuk bergabung dalam diskusi

Masuk Sekarang

Belum ada komentar. Jadi yang pertama!