Wasabi Protocol bị khai thác 5 triệu USD làm tăng tốc giả thuyết hacker DeFi sử dụng AI
Giao thức Wasabi đã bị tấn công do khoá quản trị bị xâm nhập, khiến hơn 5 triệu USD bị rút khỏi các kho perpetuals vaults và LongPool trên Ethereum, Base, Berachain, và Blast, theo các công ty an ninh blockchain Blockaid và PeckShield.
Kẻ tấn công đã chiếm được ADMIN_ROLE thông qua ví deployer của giao thức, sau đó nâng cấp các vault sang phiên bản chứa mã độc để rút tiền của người dùng. Hiện đã có khoảng 4.55 triệu USD bị lấy đi và công tác điều tra vẫn đang tiếp tục.
Sự cố từ việc chỉ dùng một khóa quản trị
Blockaid phát hiện nguyên nhân xuất phát từ ví wasabideployer.eth – đây là địa chỉ duy nhất nắm quyền ADMIN_ROLE trong PerpManager AccessManager của Wasabi.
Kẻ tấn công đã sử dụng lệnh grantRole lên ví deployer EOA mà không có độ trễ, biến hợp đồng orchestrator của mình thành admin ngay lập tức.
“Chúng tôi đã nắm được sự cố và đang chủ động điều tra. Để đảm bảo an toàn, mọi người vui lòng không tương tác với các hợp đồng Wasabi cho đến khi có thông báo mới,” phía Wasabi Protocol khuyến cáo người dùng.
Sau đó, kẻ tấn công đã nâng cấp perpetual vaults và LongPool sang phiên bản mã độc để rút toàn bộ số dư.
Khóa deployer hiện vẫn hoạt động. Token Wasabi và Spicy LP-share từ các vault bị ảnh hưởng đều bị đánh dấu là đã bị xâm phạm, giá trị quy đổi gần như bằng 0.
Theo Blockaid, cùng thủ phạm, orchestrator, và bytecode chiến lược từng xuất hiện trong các hoạt động tấn công trước đó liên quan đến Wasabi.
Mô hình này tương tự các sự cố lộ khoá quản trị trước đây, và cho thấy rủi ro của mô hình admin bằng một EOA duy nhất, không có timelock hoặc multisig. PeckShield ước tính tổng thiệt hại đã vượt 5 triệu USD trên cả 4 chuỗi bị ảnh hưởng.
Giả thuyết AI hacker lại dấy lên
Đáng chú ý, sự cố này diễn ra chỉ vài giờ sau ba vụ tấn công khác trong khoảng từ thứ Ba đến thứ Tư. BeInCrypto đã tổng hợp các vụ liên tiếp hôm thứ Ba gồm:
- Sweat Economy bị rút 3.46 triệu USD, nhưng thực tế là quỹ cứu trợ, không phải bị hack.
- Cầu nối Syndicate Commons trên Base mất 18.5 triệu SYND token, tương đương 330,000 – 400,000 USD. Số token này sau đó được chuyển qua Ethereum.
- Aftermath Finance tạm dừng giao thức perpetuals sau khi bị rút 1.14 triệu USDC.
Trong bối cảnh dồn dập này, nhiều nhà phân tích bắt đầu lo ngại về AI khi công cụ tấn công ngày càng vượt trội so với các biện pháp bảo vệ các giao thức.
Đồng quan điểm, lập trình viên Vitto Rivabella cũng đưa ra giả thuyết rằng Triều Tiên đã huấn luyện một AI nội bộ dựa trên dữ liệu DeFi bị đánh cắp qua nhiều năm.
Anh nhận định hiện tại mô hình AI này có thể tự động tấn công các giao thức với tốc độ vượt xa khả năng phòng thủ của con người.
“Một thuyết âm mưu về các vụ hack DeFi gần đây: Triều Tiên đã huấn luyện AI riêng, được nhà nước tài trợ, dựa trên lượng dữ liệu khổng lồ kiếm được từ các vụ hack DeFi suốt 10 năm qua. Giờ họ thả cho AI hacker DeFi của mình tự do hành động và không ngừng rút tiền cho tới khi có ai đó ngăn cản,” Rivabella chia sẻ.
Dù AI có thực sự đứng sau làn sóng khai thác lỗ hổng gần đây hay không, việc chỉ dùng một khoá quản trị vẫn là “cửa ngõ” quá dễ dàng cho hacker.
Bài viết đề xuất
