이 익스플로잇은 이번 달 초 Drift의 2억 8,500만 달러 규모의 침해 사건과 유사한 플레이북을 사용했습니다. 즉, 시간 잠금이나 다중 서명 없이 손상된 배포자 키로 자금이 소모되었습니다.
업데이트됨 2026년 4월 30일 오전 11:41 게시일: 2026년 4월 30일, 오전 10:37 3분 읽기
DeFi는 출혈을 멈출 수 없으며, Wasabi Protocol은 그 이유를 알아낸 가장 최근의 프로토콜입니다.
이더리움과 베이스를 기반으로 구축된 영구 거래 플랫폼인 이 프로토콜은 공격자들이 배포자 키인 보안 회사를 손상시킨 후 목요일 약 455만 달러가 손실되었습니다. Blockaid는 X 게시물에서 말했습니다..
이번 해킹은 최소 12건의 사고에서 6억 500만 달러 이상의 DeFi 손실을 가져온 한 달 만의 최신 사례입니다. 이 공격은 북한과 연계된 공격자가 손상된 관리 키를 사용하여 솔라나 기반 무기한 거래소에서 2억 8,500만 달러를 빼낸 4월 1일 드리프트 프로토콜(Drift Protocol) 익스플로잇을 밀접하게 반영합니다.
메커니즘은 Wasabi의 권한 시스템에서 유일한 ADMIN_ROLE을 보유한 wasabideployer.eth라는 외부 소유 계정(EOA)을 통해 작동되었습니다.
EOA는 스마트 계약과 달리 개인 키로 제어되는 지갑입니다. 열쇠를 갖고 있는 사람이 지갑을 통제합니다. 공격자가 배포자 키에 액세스하면 권한 계약에서 grantRole을 호출하여 지연 없이 스스로 관리자 권한을 부여했습니다.
그들의 도우미 계약은 Wasabi의 범죄 금고와 Long Pool을 잔고를 고갈시키는 악의적인 구현으로 업그레이드했다고 Blockaid는 말했습니다.
이 익스플로잇은 스마트 계약이 동일한 주소를 유지하면서 기본 코드를 변경할 수 있도록 하는 UUPS(Universal Upgradeable Proxy Standard)라는 표준을 사용했습니다.
UUPS는 개발자가 사용자를 마이그레이션하지 않고도 버그를 수정할 수 있기 때문에 널리 사용됩니다. 단점은 공격자가 관리자 권한을 제어하는 경우 자금을 훔치도록 설계된 코드를 포함하여 계약의 논리를 원하는 대로 대체할 수 있다는 것입니다.
Blockaid는 Wasabi에는 관리자 역할을 보호하는 시간 잠금이나 다중 서명이 없다고 말했습니다. 시간 잠금은 관리자 작업이 발표되는 시점과 실행되는 시점 사이에 강제로 지연을 발생시켜 사용자가 반응할 시간을 제공합니다. 다중 서명을 사용하려면 변경 사항을 승인하기 위해 여러 서명자가 필요합니다. 와사비는 둘 중 하나도 갖고 있지 않았으며, 프로토콜에 대한 모든 권한을 보유하는 단일 키를 남겼습니다.
???? Blockaid의 익스플로잇 탐지 시스템은 다음에서 진행 중인 관리자 키 손상 익스플로잇을 식별했습니다. @wasabi_protocol 이더리움과 베이스 전반에 걸쳐. Wasabi: Deployer EOA는 공격자 도우미 계약에 ADMIN_ROLE을 부여하는 데 사용되었으며, 그런 다음 범인 보관소와 LongPool을 UUPS로 업그레이드하여…
— 블록에이드(@blockaid_) 2026년 4월 30일
Blockaid에 따르면 손상된 계약에는 Wasabi의 wWETH, sUSDC, wBITCOIN, wPEPE 및 Ethereum의 Long Pool 금고와 Base의 sUSDC, wWETH, sBTC, sVIRTUAL, sAERO 및 sBRETT 금고가 포함됩니다.
Wasabi LP 토큰을 보유한 사용자는 해당 토큰을 뒷받침하는 기본 자산이 고갈되었거나 위험에 처해 있었기 때문에 금고 계약에 대한 활성 승인을 취소하도록 촉구되었습니다.
한 달 간의 공격
Drift의 경우 공격자는 거버넌스 시간 제한이 없는 단일 키 관리 설정을 악용하여 가짜 토큰을 담보로 나열하고 출금 한도를 높였습니다. 약 12분 안에 실물 자산을 소진시키는 데.
3주 후인 4월 19일, Kelp DAO는 2억 9200만 달러의 손실을 입었습니다. 공격자가 프로토콜의 LayerZero 브리지에서 단일 검증자 구성을 악용하여 116,500개의 지원되지 않는 rsETH를 공개한 후 Aave에서 실제 이더(ETH)를 빌리기 위한 담보로 사용했습니다.
2026년 누적 DeFi 손실 총액은 현재 30개 이상의 보고된 사고에서 7억 7천만 달러를 넘어섰습니다. 4월만이 그 수치의 대부분을 차지합니다.
이번 달에는 CoW Swap(120만 달러), Grinex(1,374만 달러), Resolv Labs(2,300만 달러), Volo Protocol(350만 달러) 등의 소규모 침해 사고가 발생했습니다.
이들을 하나로 묶는 것은 새로운 취약점이 아닙니다. 각 사고는 배운 교훈에 대해 동일한 사후 언어를 생성하지만 다음 공격은 일반적으로 교훈이 구현되기 전에 도착합니다.
와사비는 아직 이 사건에 대해 공개 성명을 발표하지 않았습니다.
업데이트(4월 30일, 11:34 UTC): 전반적으로 일반적인 편집이 이루어졌습니다. Drift Protocol 익스플로잇을 세 번째 단락으로 이동합니다.
당신을 위한 더 많은 것
또한: Aave의 3억 달러 복구 노력, AI 에이전트를 위한 암호화폐, Satoshi 연결 토큰에 대한 비트코인 제안.
알아야 할 사항:
암호화폐 기술 개발에서 가장 중요한 이야기를 다루는 CoinDesk의 주간 요약 The Protocol에 오신 것을 환영합니다. 저는 CoinDesk의 리포터 Margaux Nijkerk입니다.
이번 호에서는:
- Anthropic의 Mythos 모델이 암호화폐 산업에 보안에 대한 모든 것을 다시 생각하게 만드는 방법
- 업계 리더들은 구조에 수억 달러를 쏟아 붓고 있습니다.
