Wasabi 해킹: 5M$ 도난, BLAST 네트워크 피해
목차
DeFi 파생상품 플랫폼 Wasabi Protocol이 체인 간 공격을 당해 해커들이 500만 달러 이상 상당의 자산을 훔쳤습니다. PeckShield는 사건이 Ethereum, Base, Berachain 및 BLAST 상세 분석 네트워크에서 확산되었다고 확인했습니다. Blockaid와 CertiK에 따르면 공격자는 탈취한 관리자 키로 Wasabi의 deployer 지갑에 침투해 기본 시스템을 업그레이드하고 자금을 빼돌렸습니다. 이로 인해 LongPool, ShortPool 및 Vault 계약의 유동성 풀들이 표적이 되었습니다. 공격자의 Tornado Cash 관련 계정이 관리자 역할에 접근했습니다.
Wasabi 공격의 기술적 세부 사항
공격자는 관리자 키를 탈취해 deployer 지갑을 장악했습니다. 계약을 'upgrade'하여 백도어를 추가하고 유동성을 즉시 빼돌렸습니다. 크로스체인 브리지를 통해 Ethereum으로 전송되어 추적을 어렵게 했습니다. 이는 스마트 계약 권한(delegatecall)의 악용을 보여주며 – 프로토콜 개발자들에게 중요한 경고입니다.
BLAST 네트워크의 영향 및 위험
BLAST 레이어-2에서 LP 토큰이 영향을 받았습니다; Blockaid는 모든 Wasabi/Spicy LP 토큰이 위험에 처해 있다고 보고했습니다. 기초 자산이 비워졌고, 남은 자산은 여전히 위험합니다. BLAST 선물 거래 투자자들은 변동성에 주의해야 합니다. Virtuals Protocol은 마진 예치금을 동결하여 대응 조치를 취했으며, 자체 시스템이 안전하다고 밝혔습니다.
도난된 자산 및 해커 움직임
| 자산 | 금액 (추정) | 대상 |
|---|---|---|
| WETH | 높음 | ETH로 변환 |
| PEPE | 중간 | 브리지됨 |
| MOG | 중간 | 분산됨 |
| USDC | 낮음 | ETH 브리지 |
| ZYN, REKT, cbBTC, AERO, VIRTUAL | 다양 | Tornado Cash |
Cyvers 보고서에 따르면 해커는 자산을 ETH로 변환해 Ethereum 주소로 분산했습니다. 총 손실 5M$+.
PeckShield, CertiK 및 BlockSec 보고서
- PeckShield: 크로스체인 확산 확인, Blast에서 LP 배수.
- Blockaid: LP 토큰 '고위험', 상호작용 피함.
- CertiK: 관리자 키 유출, 업그레이드 익스플로잇.
- BlockSec & Cyvers: 자금 흐름 추적, Tornado 연결.
Wasabi 팀은 X에서 조사를 시작하고 상호작용 금지 조치를 취했습니다.
DeFi에서 BLAST 및 유사 사건의 교훈
이 해킹은 Kelp DAO의 292M$ 손실로 절정에 달한 DeFi의 어두운 시기를 반영합니다 (총 600M$+ 손실). AI 지원 공격이 증가하고 있습니다; 프로토콜들은 멀티시그, 타임락 및 RLN (rate-limited nonce) 같은 레이어를 추가해야 합니다. BLAST 투자자들을 위해: ETH 상세 분석과의 상관관계가 높아 유동성 위험을 모니터링하세요. 업계는 긴급 감사와 업그레이드 프로토콜로 나아가고 있습니다.