Wasabi Protocol sufrió un compromiso de la clave de administrador que drenó más de 5 millones de dólares de sus vaults de perpetuals y de LongPool a través de Ethereum, Base, Berachain y Blast, informaron las firmas de seguridad on-chain Blockaid y PeckShield.
El atacante obtuvo el ADMIN_ROLE mediante la dirección del deployer del protocolo, luego actualizó los vaults a una implementación maliciosa que drenó los balances de los usuarios. Según el último recuento, se habían extraído aproximadamente 4,55 millones de dólares y la investigación sigue en curso.
¿Cómo ocurrió la brecha de seguridad de Wasabi Protocol?
Blockaid rastreo la causa principal hasta wasabideployer.eth, la única dirección que tenía el ADMIN_ROLE en el PerpManager AccessManager de Wasabi.
El atacante llamó a grantRole en la EOA del deployer sin ningún retraso, convirtiendo instantáneamente su contrato de orquestador en administrador.
“Estamos al tanto del problema y lo estamos investigando activamente. Como precaución, por favor no interactúen con los contratos de Wasabi hasta nuevo aviso”, instó Wasabi Protocol a los usuarios en un comunicado.
A partir de ahí, el atacante actualizó los vaults de perpetuals y LongPool mediante UUPS a una implementación maliciosa que drenó los balances. La clave del deployer sigue activa. Los tokens Wasabi y Spicy LP-share de los vaults afectados han sido marcados como comprometidos y su valor de redención se acerca a cero.
Blockaid indicó que el mismo atacante, contrato orquestador y código de estrategia vinculan este incidente con actividades previas que también tuvieron como objetivo Wasabi.
El patrón es similar a incidentes previos de claves de administrador y refleja configuraciones donde solo una EOA tiene privilegios de administración, sin timelock ni multisig. PeckShield estimó las pérdidas totales en más de 5 millones de dólares en las cuatro blockchains afectadas.
La teoría de hackers impulsados por IA toma fuerza
Mientras tanto, el incidente ocurre solo unas horas después de otros tres ataques entre martes y miércoles. BeInCrypto informó sobre la cascada del martes, que incluyó:
- Robo de 3,46 millones de dólares en Sweat Economy, que resultó ser un rescate de la fundación, no un hack.
- Syndicate Commons bridge en Base perdió 18,5 millones de tokens SYND, equivalentes a entre 330,000 y 400,000 dólares. Los fondos fueron llevados a Ethereum.
- Aftermath Finance pausó su protocolo de perpetuals tras perder aproximadamente 1,14 millones de dólares USDC.
Ante este contexto, los analistas están expresando preocupaciones sobre la IA, destacando la diferencia asimétrica entre las herramientas de los atacantes y las defensas de los protocolos.
En la misma línea, el desarrollador Vitto Rivabella propuso la teoría de que Corea del Norte entrenó una IA propia usando años de datos robados de DeFi.
Sugirió que este modelo ahora opera como un explotador autónomo, drenando protocolos más rápido de lo que los revisores humanos pueden cerrar los fallos.
“Teoría conspirativa salvaje sobre los recientes hacks DeFi: Corea del Norte ha entrenado su propia versión financiada por el estado de Mythos usando las enormes cantidades de datos obtenidos hackeando protocolos DeFi durante los últimos 10 años. Ahora solo dejan que su hacker de IA para DeFi actúe libremente y no van a dejar de ganar dinero hasta que alguien los detenga”, escribió Rivabella.
Ya sea que la IA esté detrás de la reciente ola de exploits o no, los roles de administrador controlados por una sola clave siguen dando a los atacantes una oportunidad clara.
