DeFi 衍生品協議 Wasabi Protocol pada 30 April sore hari mengalami serangan kebocoran kunci privat milik administrator. Berdasarkan pemantauan perusahaan keamanan on-chain Blockaid dan CertiK Alert, penyerang memberi otorisasi ADMIN_ROLE dari Deployer EOA milik Wasabi ke kontrak helper miliknya, lalu melalui mekanisme proxy upgradeable UUPS, mengubah perp vaults dan LongPool menjadi versi implementasi berbahaya, sehingga langsung menarik saldo token yang dikelola oleh kontrak. CertiK memperkirakan kerugian sekitar 2,9 juta dolar AS, dengan cakupan serangan melintasi jaringan utama Ethereum dan Base dua-chain. Pihak resmi Wasabi telah mengumumkan penghentian interaksi kontrak pada pukul 18:33 waktu Taiwan.
Jalur serangan: kunci privat deployer lengah → otorisasi ADMIN_ROLE → upgrade UUPS menjadi kontrak berbahaya
Pada 30/4 sekitar pukul 16:30 waktu Taiwan, Blockaid mengungkap di X bahwa Wasabi Protocol mengalami “ongoing admin-key compromise exploit”, yaitu serangan kebocoran kunci privat administrator yang sedang berlangsung. Rangkaian serangan lengkap terdiri dari tiga langkah: pertama, dompet deployer Wasabi (Deployer EOA) dibobol, sehingga penyerang memperoleh kunci privat dompet tersebut; selanjutnya, penyerang menggunakan dompet ini untuk menjalankan operasi grantRole, memberi ADMIN_ROLE kepada kontrak helper yang dikendalikan sendiri; terakhir, kontrak helper memanfaatkan mekanisme upgrade UUPS untuk mengganti implementasi dua kontrak inti, yaitu perp vaults (khas treasury kontrak perpetual) dan LongPool (multi-head pool), menjadi versi berbahaya, lalu pihak tersebut langsung menarik saldo token yang dikelola kontrak.
UUPS (Universal Upgradeable Proxy Standard) adalah model kontrak pintar upgradeable yang dipromosikan oleh OpenZeppelin, di mana logika upgrade ditempatkan di “kontrak implementasi” bukan di lapisan proxy. Kelebihannya adalah biaya gas lebih rendah dan struktur kontrak lebih ringkas; risikonya adalah “peran yang dapat menjalankan upgrade” begitu berhasil ditaklukkan, penyerang bisa langsung mengganti seluruh kontrak dengan logika apa pun tanpa melewati proses tata kelola atau timelock. Kejadian ini merupakan contoh tipikal penyalahgunaan kunci privat administrator pada mode UUPS.
CertiK memperkirakan kerugian 2,9 juta dolar AS, dampak pada Ethereum dan Base dua-chain
CertiK Alert pada 30/4 sore pukul 16:30 secara sinkron mengonfirmasi peristiwa tersebut: “penyerang diberi Role istimewa oleh dompet deployer Wasabi, yang menunjukkan dompet tersebut telah disusupi.” CertiK mengutip data on-chain untuk mengestimasi kerugian sekitar 2,9 juta dolar AS. Serangan terjadi di jaringan Ethereum mainnet dan Base; kontrak inti yang terdampak adalah perp vaults dan LongPool—yang pertama digunakan untuk penitipan jaminan posisi kontrak perpetual, sementara yang kedua menjadi wadah dana multi-head.
Skala kejadian ini jauh lebih kecil dibanding peretasan Drift Protocol pada awal April di Solana senilai 285 juta dolar AS, namun jenis serangannya pada dasarnya sama—keduanya juga merupakan kebocoran kunci privat administrator disertai penyalahgunaan role berhak istimewa tinggi. Bagi ekosistem DeFi, kemunculan berulang serangan tipe “kunci privat” ini menunjukkan bahwa: akurasi kode program kontrak pintar saja tidak dapat melindungi akun istimewa yang bisa mengakali mekanisme di luar kode program.
Wasabi menghentikan interaksi kontrak, Virtuals Protocol membekukan setoran jaminan
Pihak resmi Wasabi Protocol pada 30/4 sore pukul 18:33 mengeluarkan pengumuman di X: “Kami telah memperhatikan masalah ini dan sedang menyelidiki secara aktif. Sebagai tindakan pencegahan, mohon jangan berinteraksi dengan kontrak Wasabi sampai ada pemberitahuan berikutnya.” Dalam pengumuman tersebut, pihak resmi tidak langsung mengonfirmasi detail serangan yang dijelaskan Blockaid dan CertiK, hanya menyatakan akan menambahkan informasi lebih lanjut.
Proyek hilir yang paling patut diperhatikan adalah Virtuals Protocol—ekosistem AI Agent yang sedang ramai dalam setahun terakhir; sebagian fungsi produk bergantung pada layanan setoran jaminan yang disediakan Wasabi. Virtuals pada 30/4 pukul 17:07 menyatakan di X bahwa keamanan dirinya sepenuhnya aman, dan telah langsung membekukan fitur setoran jaminan yang didukung Wasabi; transaksi lain, penarikan, dan operasi agent tetap berjalan normal, serta mengingatkan pengguna untuk tidak menandatangani transaksi apa pun terkait Wasabi sebelum kejadian ini terselesaikan.
Bagi investor DeFi, pengingat dari kejadian seperti ini juga serupa: ketika protokol saling terhubung, lalu menggunakan fitur leverage atau derivatif dari layanan upstream, keamanan kunci privat infrastruktur upstream menjadi risiko bersama yang ditanggung semua pengguna hilir, terlepas dari apakah protokol yang berinteraksi langsung dengan kita aman atau tidak.
Artikel ini Wasabi dirancang 2,9 juta dolar AS: kebocoran kunci privat administrator, kontrak diubah menjadi versi berbahaya pertama kali muncul di 鏈新聞 ABMedia.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
