A Wasabi Protocol közzétett egy előzetes elemzést az AWS-infrastruktúrájában fellépő biztonsági réssel kapcsolatos incidensről. A ChainCatcher szerint a támadók kihasználták a Spring Boot Actuator konfigurációs hibáját, ami lehetővé tette számukra az EVM alapú okosszerződéseket irányító privát kulcsok ellopását. A támadás következtében körülbelül 4,8 millió dollárnyi eszközt loptak el a felhasználóktól, és 900 000 dollárnyi eszközt a protokoll kincstárából is eltulajdonítottak.

Így bonyolítottak le a támadást

• Belépési pont: A Spring Boot Actuator-t elemzés céljából telepítették egy Wasabi nyilvános szerverre. Az Actuator heap dumpjai általában jelszóval védettek, de ez a szerver egy másik Spring keretrendszert futtatott, amely nem volt kompatibilis a szabványos jelszóvédelemmel.
• Pivot: Ez a heap dump egy másik szerver hitelesítő adatait szivárogtatta ki. Ezeket a hitelesítő adatokat végül a Wasabi okosszerződéseit irányító privát kulcsok megszerzésére használták fel.
• Végrehajtás: A kulcsok birtokában a támadók kivonási támadást indítottak a Wasabi okosszerződései ellen, és 4,8 millió dollárnyi felhasználói pénzt szereztek meg.

Az incidens az EVM telepítéseket érintette, beleértve az Ethereum, Base, a Blast és a Berachain hálózatokat, de szerencsére a Solana telepítések és a Prop AMM érintetlenek maradtak.

Mit tett a Wasabi az incidens óta?

Az első 48 óra: a helyzet normalizálása. A támadás észlelésekor elsődleges feladatuk az volt, hogy megállítsák a támadást és megakadályozzák a további veszteségeket. Lezárták a támadók által használt hozzáférési útvonalakat, kicserélték az érintett rendszerhez tartozó összes hitelesítő adatot és kulcsot, valamint lezárták az érintett szerződéseket. Megbízható külső biztonsági partnereket is bevontak, és felvették a kapcsolatot a bűnüldöző szervekkel.

A kifizetések helyreállítása. Miután megbizonyosodtak arról, hogy nincs lehetőség további lopásokra, azon kezdtek el dolgozni, hogy az incidensben nem érintett felhasználók hozzáférhessenek az eszközeikhez. Május 2-án újra elindították a kifizetéseket minden olyan tárcára vonatkozóan, amely nem szerepel a fenti érintett körben. Közzétették a Mainnet, a Base, a Blast és a Berachain hálózatokon található tárcák állapotát, hogy a felhasználók közvetlenül ellenőrizhessék a helyzetüket.

Vizsgálat, helyreállítás és bűnüldözés. Felkérték a @zeroshadow_io-t, hogy nyomon kövesse a láncon belül az ellopott pénzeszközöket, koordinálja a tőzsdékkel és a bűnüldöző szervekkel való együttműködést, törekedjen a pénzeszközök visszaszerzésére, és készítsen egy független vizsgálatot az esetről. Figyelemmel kísérik a támadó tárcájának tevékenységét, és láncon belüli üzenetet küldtek a pénzeszközöket tároló címre, amelyben konstruktív megoldásra hívták fel a felet.

A Wasabi Protocol még nem véglegesítette az érintett felhasználók számára szóló kompenzációs tervet, de hangsúlyozta, hogy az összes érintett felhasználó kártalanítása elsődleges fontosságú számukra. A csapat a Discord-közösségén keresztül tervezi közzétenni a vizsgálat előrehaladásáról szóló friss információkat.

Felhívták a figyelmet arra, hogy a hírek kizárólag a Wasabi hivatalos csatornáin keresztül érkeznek. Soha nem küldenek először privát üzenetet. Kérték, hogy minden felhasználó hagyja figyelmen kívül az „igénylés”, „visszatérítés” vagy „helyreállítási portál” linkeket, valamint az azokhoz hasonló fiókokat, mert azok csalások lehetnek. Ha valaki nem biztos abban, hogy egy üzenet valódi-e, kezelje azt gyanúsnak, amíg nem tudja ellenőrizni egy hivatalos csatornán keresztül az információt.