Wasabi Protocol nag-update ng progreso sa paghawak ng security incident

Ayon sa ChainCatcher, inilabas ng Wasabi Protocol ang update ukol sa isang security incident kung saan tinukoy na ginamit ng umaatakeng partido ang Spring Boot Actuator configuration vulnerability sa kanilang AWS infrastructure, nakuha ang private key na kumokontrol sa EVM smart contract, at ninakaw ang humigit-kumulang $4.8 milyon mula sa pondo ng mga user at $900,000 mula sa protocol treasury, kaya’t umabot sa $5.7 milyon ang kabuuang pinsala.

Nagsimula ang attack chain sa isang public server na ginagamit para sa analytics, kung saan ang Actuator heap dump ay walang wastong proteksyon ng password. Dahil dito, nakuha ng attacker ang credentials ng isa pang server at sa huli ay ang kontrol sa private key ng smart contract. Apektado lamang ng insidenteng ito ang mga EVM deployment, kabilang ang mga treasury sa Ethereum, Base, Blast at Berachain; hindi naapektuhan ang deployment sa Solana at Prop AMM. Sa kasalukuyan, wala pang pinal na plano para sa user compensation, ngunit nananatiling pinakamahalagang prayoridad ng team na mabigyan ng kabayaran ang lahat ng naapektuhang user. Magbibigay ng karagdagang update ukol sa resulta ng imbestigasyon sa Discord community sa hinaharap.