تعاني منصة العملات المشفرة من خرق أمني كبير، مما يؤدي إلى خسارة الملايين بسبب عمليات استغلال داخلية مشتبه بها
لا يمكن لـ DeFi إيقاف النزيف، وبروتوكول Wasabi هو الأحدث لمعرفة السبب.
قالت شركة Blockaid الأمنية في منشور X أن Wasabi Protocol، وهي منصة تداول دائمة مبنية على Ethereum وBase، تم استنزاف ما يقرب من 4.55 مليون دولار يوم الخميس بعد أن قام المهاجمون باختراق مفتاح نشر البروتوكول.
يعد الاختراق هو الأحدث خلال شهر أدى إلى خسائر بقيمة تزيد عن 605 مليون دولار في التمويل اللامركزي عبر 12 حادثة على الأقل.
كان الميكانيكي عبارة عن حساب مملوك خارجيًا، أو EOA، يُسمى Wasabideployer.eth وكان له دور ADMIN_ROLE الوحيد في نظام أذونات Wasabi.
EOA عبارة عن محفظة يتم التحكم فيها بواسطة مفتاح خاص، بدلاً من العقد الذكي. من يحمل المفتاح يتحكم في المحفظة. بمجرد أن يتمكن المهاجم من الوصول إلى مفتاح النشر، قاموا باستدعاء GrantRole في عقد الإذن لمنح أنفسهم امتيازات المسؤول دون أي تأخير.
وقال Blockaid إن عقد المساعد الخاص بهم قام بعد ذلك بترقية خزائن Wasabi وLongPool إلى تطبيقات ضارة استنزفت الأرصدة.
اعتمدت الثغرة على إمكانية ترقية UUPS، وهو نمط حيث يمكن للعقد الذكي تبديل الكود الأساسي الخاص به مع الاحتفاظ بنفس العنوان.
يتم استخدام UUPS على نطاق واسع لأنه يتيح للمطورين إصلاح الأخطاء دون ترحيل المستخدمين. وهذا يعني أيضًا أنه إذا كان المهاجم يتحكم في أذونات المسؤول، فيمكنه استبدال منطق العقد بأي شيء يريده، بما في ذلك التعليمات البرمجية المصممة لسرقة الأموال.
وقال Blockaid إن Wasabi لم يكن لديه قفل زمني أو multisig لحماية دور المسؤول. يفرض القفل الزمني تأخيرًا بين وقت الإعلان عن إجراء المشرف ووقت تنفيذه، مما يمنح المستخدمين الوقت للرد. يتطلب التوقيع المتعدد عدة موقعين للموافقة على التغيير. لم يكن لدى الوسابي أيًا منهما، مما ترك مفتاحًا واحدًا يتحكم بشكل كامل في البروتوكول.
🚨 اكتشف نظام الكشف عن الاستغلال الخاص بـ Blockaid اختراقًا مستمرًا لمفتاح المسؤول على @wasabi_protocol عبر Ethereum وBase. Wasabi: تم استخدام Deployer EOA لمنح ADMIN_ROLE لعقد مساعد مهاجم، والذي قام بعد ذلك UUPS بترقية خزائن perp وLongPool إلى... — Blockaid (@blockaid_) 30 أبريل 2026
تشمل العقود المعرضة للخطر خزائن Wasabi's wWETH وsUSDC وwBITCOIN وwPEPE وLong Pool على Ethereum، بالإضافة إلى خزائن sUSDC وwWETH وsBTC وsVIRTUAL وsAERO وsBRETT على Base، لكل Blockaid.
تم حث المستخدمين الذين يحملون رموز Wasabi LP على إلغاء أي موافقات نشطة على عقود الخزنة، نظرًا لأن الأصول الأساسية التي تدعم تلك الرموز إما تم استنزافها أو ظلت معرضة للخطر.
يعكس هجوم Wasabi بشكل وثيق استغلال Drift Protocol في الأول من أبريل، عندما استخدم المهاجمون المرتبطون بكوريا الشمالية مفتاح إدارة مخترقًا لاستنزاف 285 مليون دولار من البورصة الدائمة التي يوجد مقرها في Solana.
في هذه الحالة، استغل المهاجمون أيضًا إعداد إداري ذو مفتاح واحد بدون قفل زمني للحوكمة، وأدرجوا رمزًا مزيفًا كضمان ورفعوا حدود السحب لاستنزاف الأصول الحقيقية في حوالي 12 دقيقة.
بعد ثلاثة أسابيع، في 19 أبريل، خسرت Kelp DAO 292 مليون دولار عندما استغل أحد المهاجمين تكوين أداة التحقق الفردية في جسر LayerZero الخاص بالبروتوكول، مما أدى إلى إطلاق 116,500 rsETH غير مدعوم والتي تم استخدامها بعد ذلك كضمان لاقتراض الأثير الحقيقي من Aave.
لقد تجاوز إجمالي خسائر DeFi التراكمية لعام 2026 الآن 770 مليون دولار عبر أكثر من 30 حادثة تم الإبلاغ عنها. ويمثل شهر أبريل وحده غالبية هذا الرقم.
وقد أصابت الانتهاكات الأصغر هذا الشهر CoW Swap (1.2 مليون دولار)، وGrinex (13.74 مليون دولار)، وResolv Labs (23 مليون دولار)، وVolo Protocol (3.5 مليون دولار)، من بين أمور أخرى.
ما يربطهم معًا ليس ثغرة أمنية جديدة. تنتج كل حادثة نفس لغة ما بعد الوفاة حول الدروس المستفادة، ولكن عادةً ما تصل الاستغلال التالي قبل تنفيذ الدروس.
ولم يصدر الوسابي بعد بيانًا عامًا حول الحادث.