La plataforma de préstamos DeFi Wasabi Protocol perdió más de 5,5 millones de dólares después de que un atacante comprometiera el monedero de despliegue del proyecto, drenando fondos a través de sus bóvedas en Ethereum, Base, Blast y Berachain. El exploit, que comenzó a desarrollarse a última hora del martes, pone de relieve un fallo crítico en la seguridad operativa más que un defecto en la lógica del contrato inteligente en sí.
"Somos conscientes de un problema y estamos investigando activamente", afirmó el equipo de Wasabi Protocol en un comunicado, instando a los usuarios a no interactuar con los contratos hasta nuevo aviso. Según la empresa de seguridad on-chain Blockaid, la causa principal fue el compromiso de una única dirección de propiedad externa, wasabideployer.eth, que poseía el ADMIN_ROLE para el gestor de acceso del protocolo. Esto permitió al atacante otorgarse privilegios administrativos y actualizar las bóvedas del protocolo a una implementación maliciosa que sifonó los fondos de los usuarios.
El ataque a Wasabi es el último de una serie de exploits de alto valor que hicieron de abril el mes más perjudicial para el sector cripto en más de un año, con pérdidas totales que superaron los 630 millones de dólares, según datos de CertiK. El mes se definió por un puñado de ataques catastróficos de varias etapas, incluyendo el exploit de 293 millones de dólares de Kelp DAO y la brecha de 280 millones de dólares de Drift Protocol. Esto marca un cambio estratégico con respecto a los exploits más frecuentes y de menor valor vistos en meses anteriores.
"Lo que conecta estos incidentes es que atacantes con grandes recursos están encontrando formas novedosas de explotar las costuras entre los protocolos on-chain y los sistemas off-chain de los que dependen", dijo Yaniv Nissenboim, jefe de soluciones de seguridad en Chainalysis, a Cointelegraph. El incidente de Wasabi subraya esta tendencia, demostrando cómo una sola clave comprometida sin la salvaguarda de un bloqueo temporal (timelock) o una gobernanza multisig puede llevar a un drenaje completo de los activos de un protocolo. El sistema trató el robo como una actualización legítima del propietario, revelando un punto crítico de falla único.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.
