Banner
NEWS

Wasabi Protocol Merugi Lebih dari $5 Juta Akibat Eksploitasi Kunci Admin

Wasabi Protocol Merugi Lebih dari $5 Juta Akibat Eksploitasi Kunci Admin
CoinPlurk News
CoinPlurk News
Sumber Terverifikasi
30 Apr 2026
0
RINGKASAN
Judul: Wasabi Protocol Merugi Lebih dari $5 Juta Akibat Eksploitasi Kunci Admin
Kategori: NEWS
Penulis: CoinPlurk News
Tanggal Terbit: 30 Apr 2026
RINGKASAN: Kebocoran kunci admin senilai lebih dari $5 juta menguras brankas abadi Wasabi Protocol di empat rantai, mengakhiri apa yang disebut analis sebagai bulan terburuk dalam sejarah DeFi.
Detail

Apa Yang Terjadi

Protokol on-chain perpetual futures Wasabi diretas pada 30 April 2026, dengan penyerang menguras lebih dari $5 juta di jaringan Ethereum, Base, Berachain, dan Blast, sebagaimana dilaporkan oleh firma keamanan blockchain PeckShield.

Penyerang memperoleh ADMIN_ROLE melalui dompet deployer protokol — yang diidentifikasi sebagai wasabideployer.eth, satu-satunya alamat yang memegang peran tersebut dalam AccessManager PerpManager Wasabi — kemudian meningkatkan (upgrade) vault ke implementasi berbahaya yang menyedot saldo pengguna. Sekitar $4,55 juta telah diekstraksi pada hitungan awal, dengan investigasi yang masih aktif.

Wasabi mengakui insiden tersebut di X, mendesak pengguna untuk menghindari penggunaan protokol selama investigasi sedang berlangsung, dan mengonfirmasi bahwa mereka telah melibatkan penanggap keamanan on-chain profesional, termasuk SEAL 911 dan Blockaid.

Bagaimana Serangan Tersebut Dieksekusi

Serangan itu dilakukan melalui mekanisme yang dikenal sebagai eksploitasi upgrade UUPS. Setelah menguasai akun deployer, penyerang menginisiasi pembaruan kontrak yang mengganti kode aman dengan logika berbahaya, mengalihkan dana dari vault dan liquidity pool ke alamat mereka sendiri. Karena protokol tersebut tidak memiliki mekanisme timelock, perubahan diimplementasikan secara instan — sehingga tidak ada jeda waktu bagi pengembang atau pengguna untuk melakukan intervensi.

Detail teknis utama dari pelanggaran tersebut:

  • Penyerang memanggil grantRole pada EOA deployer dengan penundaan nol, secara instan mengubah kontrak orchestrator mereka menjadi admin.
  • Token LP-share Wasabi dan Spicy dari vault yang terkena dampak ditandai sebagai terkompromi, dengan nilai penebusan mendekati nol.
  • Blockaid mencatat bahwa alamat penyerang, kontrak orchestrator, dan bytecode strategi yang sama mengaitkan insiden ini dengan aktivitas sebelumnya yang menargetkan Wasabi.
  • Tidak ada perlindungan seperti otorisasi multi-signature atau penundaan waktu (time delays) untuk mencegah eksekusi tindakan berbahaya secara langsung.

April 2026: Bulan Terburuk DeFi Sepanjang Sejarah

Eksploitasi Wasabi tidak terjadi secara terisolasi. Peretasan ini menutup bulan yang brutal bagi DeFi, yang ditandai oleh dua eksploitasi besar dan lebih dari dua puluh insiden kecil. Mantan kepala DeFi di Monad mencatat di X bahwa April 2026 mengakibatkan kerugian sekitar $635 juta di 28 insiden dalam 30 hari.

Dua insiden terbesar di bulan ini adalah:

  • Drift Protocol — Pada 1 April, bursa perpetuals berbasis Solana menderita arus keluar sekitar $270 juta yang mencakup lebih dari 15 jenis token berbeda, dalam apa yang dilaporkan sebagai operasi yang terkait dengan negara Korea Utara yang telah dipersiapkan selama enam bulan.
  • Kelp DAOPada 18 April, penyerang yang diduga didukung oleh negara Korea Utara mengeksploitasi bridge LayerZero, memalsukan pesan cross-chain yang memungkinkan pencetakan 116.500 rsETH tanpa ada aset yang dikunci di sisi sumber. Penyerang kemudian menyetorkan rsETH tanpa jaminan tersebut ke Aave sebagai agunan dan meminjam sekitar $236 juta dalam bentuk WETH asli.

Respons terhadap insiden Kelp mencakup upaya kolektif yang belum pernah terjadi sebelumnya di antara protokol DeFi dan individu, yang dijuluki DeFi United, yang telah mengumpulkan lebih dari $300 juta untuk memulihkan jaminan rsETH Kelp.

Teori Hacker-AI

Frekuensi dan presisi eksploitasi baru-baru ini telah memperbaharui perdebatan tentang alat yang digunakan penyerang. Pengembang Vitto Rivabella secara publik melontarkan teori bahwa Korea Utara melatih model AI internal pada data DeFi yang dicuri selama bertahun-tahun, menunjukkan bahwa model tersebut kini beroperasi sebagai pengeksploitasi otonom yang menguras protokol lebih cepat daripada yang bisa ditambal oleh peninjau manusia. Meskipun belum terverifikasi, hipotesis ini mencerminkan kekhawatiran yang berkembang di komunitas keamanan tentang keunggulan asimetris yang mungkin dimiliki penyerang atas tim pertahanan protokol.

Apa Yang Harus Dilakukan Pengguna Sekarang

Tim keamanan mendesak individu yang terdampak untuk mencabut (revoke) semua izin smart contract yang terkait dengan protokol sebagai langkah awal yang krusial. Alat seperti Revoke.cash dapat membantu menghapus akses yang sebelumnya diberikan ke kontrak yang terkompromi. Pengguna harus menghindari berinteraksi dengan tautan mencurigakan atau program pemulihan tidak resmi dan hanya memantau pengumuman resmi yang terverifikasi.

Terlepas dari apakah AI mempercepat gelombang eksploitasi saat ini atau tidak, insiden Wasabi memperjelas satu masalah struktural: arsitektur admin kunci tunggal (single-key) tanpa timelock atau kontrol multi-signature tetap menjadi salah satu kerentanan yang paling mudah dieksploitasi di DeFi saat ini.


Diterbitkan oleh Coinplurk.com

Catatan Redaksi

Kami menggunakan teknologi AI untuk membantu menyajikan informasi dengan lebih cepat dan efisien. Namun, seluruh konten tetap melalui proses peninjauan manusia. Jika Anda menemukan kesalahan data atau kekeliruan fakta dalam artikel ini, mohon laporkan kepada tim redaksi kami melalui tombol [Laporkan Artikel].

Published by Coinplurk.com

CoinPlurk News

Tentang Penulis

CoinPlurk News

Penulis Terverifikasi

Verified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.

Artikel Lainnya

6
NEWS

Visa, Mastercard, dan 140+ Perusahaan Meluncurkan Stablecoin Open USD

Koalisi yang terdiri dari Visa, Mastercard, Stripe, Coinbase, BlackRock, dan lebih dari 140 perusahaan lainnya telah meluncurkan Open USD, sebuah stablecoin yang dipatok ke dolar AS dan dirancang untuk berbagi imbal hasil cadangan dengan bisnis yang menggunakannya.

CoinPlurk News 01 Jul 2026
NEWS

FIFA memilih Avalanche untuk Piala Dunia 2026; AVAX naik 8%.

Keputusan FIFA untuk membangun infrastruktur penjualan tiket, program loyalitas, dan koleksi digital Piala Dunia 2026 di atas blockchain Avalanche khusus telah memberikan sinyal bullish terkuat bagi AVAX dalam sebulan terakhir — tetapi analis mengatakan permintaan berkelanjutan masih perlu dibuktikan.

CoinPlurk News 17 Jun 2026
NEWS

Mastercard Meluncurkan AP4M untuk Pembayaran Berkecepatan Mesin Berbasis AI

Layanan baru Agent Pay for Machines (AP4M) dari Mastercard memungkinkan agen AI untuk secara otonom memberikan izin, mengatur, dan menyelesaikan pembayaran mikro berfrekuensi tinggi di seluruh kartu, rekening bank, dan stablecoin — dengan lebih dari 30 mitra industri yang telah bergabung.

CoinPlurk News 15 Jun 2026
NEWS

Polymarket Menargetkan Jepang dengan Persetujuan pada 2030

Polymarket telah menunjuk perwakilan lokal dan menetapkan target persetujuan regulasi di Jepang pada tahun 2030, meskipun undang-undang perjudian yang ketat di negara tersebut dan gelombang pembatasan pasar prediksi di seluruh dunia membuat jalan ke depan menjadi tidak pasti.

CoinPlurk News 22 Mei 2026
NEWS

Pengajuan IPO SpaceX Mengungkapkan $1,45 Miliar Treasury Bitcoin

Pengajuan bersejarah SpaceX ke SEC menjelang debutnya di Nasdaq telah mengungkapkan posisi 18.712 BTC senilai $1,45 miliar, menempatkan perusahaan kedirgantaraan tersebut di antara pemegang Bitcoin korporat terbesar yang diketahui.

CoinPlurk News 21 Mei 2026
NEWS

Kartu Kripto Fisik Pertama Revolut Diluncurkan di Inggris dan EEA

Revolut telah meluncurkan kartu debit kripto fisik pertamanya — kartu bertema Dogecoin yang dilengkapi LED dan diterima di mana saja Visa dan Mastercard didukung — menandai langkah penting dalam dorongan fintech untuk membawa pengeluaran aset digital ke keuangan konsumen sehari-hari.

CoinPlurk News 19 Mei 2026

Pusat Interaktif

0 Balasan

Jika Anda punya saran, pertanyaan, atau sekadar ingin menulis komentar pada artikel ini, jangan sungkan untuk menulis pada kolom diskusi di bawah ini.

Silakan masuk untuk bergabung dalam diskusi

Masuk Sekarang

Belum ada komentar. Jadi yang pertama!

CoinPlurk Web3 Gateway Platform

⚠ Pernyataan Penting
Coinplurk adalah platform Web3 Gateway yang menyajikan berita, data, dan ulasan aplikasi Web3 terbaru. Seluruh konten yang tersedia hanya bersifat informatif dan bukan merupakan saran investasi, finansial, atau ajakan untuk membeli/menjual aset kripto apa pun. Segala keputusan finansial sepenuhnya berada di tangan Anda. Kami sangat menyarankan Anda untuk melakukan riset mandiri (DYOR) sebelum melakukan transaksi di platform Web3 mana pun.

© 2026 CoinPlurk | All Rights Reserved