Se timelock, se multisig: Egy kulcs mindenek felett
A támadás egy ismert forgatókönyvet követte: a wasabideployer.eth névre hallgató, kívülről irányított tárca volt az egyetlen admin, így a privát kulcs megszerzésével a támadók teljes irányítást kaptak a rendszer felett. A támadás pillanatok alatt megtörtént, hiszen sem időzár (timelock), sem többszörös aláírás (multisig) nem védte az admin funkciókat. Ez lehetővé tette, hogy a támadók azonnal átvegyék a kezelői jogosultságokat, és a szerződések rosszindulatú verzióra frissítésével kiszivattyúzzák a felhasználók vagyonát.
Az UUPS szabvány előnyei és árnyoldalai
A támadók az úgynevezett Universal Upgradeable Proxy Standard (UUPS) megoldást használták ki, amely ugyan rugalmas frissítéseket tesz lehetővé a fejlesztők számára anélkül, hogy a felhasználóknak új szerződésekre kellene átállniuk, de éppen emiatt ha valaki admin jogot szerez, szabadon módosíthatja a szerződés logikáját, és akár el is lophatja az összes pénzt. Ezúttal így jártak pórul a wWETH, sUSDC, wBITCOIN, wPEPE, valamint a Long Pool kasszák az Ethereumon, illetve a sUSDC, wWETH, sBTC, sVIRTUAL, sAERO és sBRETT a Base-en.
Idővel mindig történik valami újabb DeFi-botrány
Április különösen fájdalmas hónap volt a DeFi szektorban, több mint 605 millió dollár (235 milliárd forint) tűnt el legalább 12 incidens során, és eddig összesen 770 millió dolláros (kb. 301 milliárd forintos) veszteségnél jár az idei év. Szinte minden botrányban közös, hogy egyetlen sebezhető admin kulcs, illetve a megfelelő ellenőrzés hiánya okozza a bajt.
A felhasználókat figyelmeztették, hogy a lehető leghamarabb vonják vissza a Wasabi LP tokenekhez adott engedélyeket, mert az azokat fedező eszközök elvesztek, vagy további veszélyben vannak. Nyilatkozat a Wasabi Protocol részéről egyelőre nem érkezett, a DeFi világ pedig tovább vérzik.
