Serangan terhadap Wasabi Protocol kembali menyorot satu titik lemah yang paling sering luput dari perhatian, yaitu akses admin yang terlalu terpusat. Dalam insiden ini, satu kunci pengelola disebut menjadi pintu masuk yang memungkinkan penyerang mengambil alih kontrol dan menguras lebih dari $5 juta dari beberapa aset di jaringan berbeda.
Temuan awal dari Blockaid dan PeckShield menunjukkan bahwa akses ADMIN_ROLE berpindah ke tangan penyerang melalui wallet deployer protokol. Dari sana, pengambilalihan berjalan cepat karena jalur kendali kontrak sudah berada di bawah penguasaan pihak tidak sah.
Akses admin tunggal jadi masalah utama
Blockaid menjelaskan bahwa sumber persoalan berada pada wasabideployer.eth, alamat yang disebut sebagai satu-satunya pemegang ADMIN_ROLE di AccessManager milik PerpManager Wasabi. Kondisi seperti ini membuat satu akses saja cukup untuk membuka jalan menuju kendali penuh atas kontrak.
Penyerang diduga memanggil grantRole pada EOA deployer tanpa jeda waktu, lalu langsung mengubah kontrak pengendali menjadi admin. Setelah status itu berhasil diambil alih, langkah berikutnya adalah melakukan UUPS-upgrade pada perpetual vaults dan LongPool ke implementasi berbahaya.
Dana terdampak lintas beberapa jaringan
PeckShield menyebut total kerugian melewati $5 juta jika dihitung lintas empat jaringan yang terdampak. Jaringan yang disebut dalam insiden ini mencakup Ethereum, Base, Berachain, dan Blast, dengan pengurasan terjadi pada perpetuals vaults serta LongPool.
Pada pembacaan awal, jumlah dana yang terpantau keluar sempat disebut sekitar $4,55 juta. Meski angka itu muncul lebih dulu dalam penelusuran, proses investigasi belum selesai sehingga nilai akhirnya kemudian diperkirakan melampaui ambang $5 juta.
Aset terkait ikut ditandai bermasalah
Blockaid juga menyoroti bahwa kunci deployer masih aktif, sehingga risiko lanjutan belum sepenuhnya tertutup. Dalam situasi seperti ini, perhatian tidak hanya tertuju pada dana yang sudah keluar, tetapi juga pada kemungkinan akses yang masih bisa dimanfaatkan jika kendali belum benar-benar diputus.
Token saham likuid Wasabi dan Spicy LP dari vault yang terdampak turut ditandai sebagai compromised. Nilai redemption-nya disebut mendekati nol, yang berarti aset terkait kehilangan fungsi tebus yang semestinya masih bisa digunakan oleh pengguna.
Pola serangan dinilai berulang
Blockaid menilai insiden ini tidak berdiri sendiri karena memiliki kaitan dengan aktivitas sebelumnya yang juga menarget Wasabi. Kesamaan pada attacker, orchestrator, dan bytecode strategi disebut menunjukkan pola yang konsisten dan mengarah pada metode serangan yang serupa.
Temuan tersebut memperkuat kekhawatiran bahwa model keamanan yang bergantung pada satu EOA admin tanpa timelock atau multisig masih sangat rentan. Dalam model seperti itu, satu titik akses saja sudah cukup untuk membuka jalan menuju penguasaan protokol.
Sorotan meluas ke isu AI dan serangan DeFi
Kasus Wasabi muncul di tengah rangkaian insiden lain yang terjadi dalam selang waktu berdekatan. BeInCrypto sebelumnya melaporkan tiga kejadian lain, termasuk penurunan dana di Sweat Economy yang ternyata merupakan penyelamatan dana foundation, serangan pada Syndicate Commons bridge di Base, dan penghentian sementara Aftermath Finance setelah kehilangan sekitar $1,14 juta USDC.
Rangkaian peristiwa itu membuat sebagian analis kembali membahas ketimpangan antara kecepatan alat serang dan kemampuan pertahanan protokol. Developer Vitto Rivabella bahkan mengemukakan teori bahwa Korea Utara telah melatih AI internal dari data DeFi yang dicuri selama bertahun-tahun, lalu membiarkan sistem itu bekerja sebagai exploiter otonom.
Rivabella menyebut skenario itu sebagai “wild conspiracy theory” tentang AI DeFi hacker yang terus berjalan sampai dihentikan. Namun, sekalipun terdengar spekulatif, sorotan utama tetap mengarah ke fakta bahwa role admin tunggal masih menjadi target yang paling mudah dieksploitasi dalam ekosistem DeFi.
Wasabi sendiri meminta pengguna untuk tidak berinteraksi dengan kontrak Wasabi sampai pemberitahuan lebih lanjut. Langkah itu diambil sambil penelusuran teknis masih berjalan, sementara perhatian pasar kini tertuju pada bagaimana protokol-protokol lain menutup celah serupa sebelum satu kunci admin kembali berubah menjadi pintu masuk fatal.
