Eksploatacija bez zaštitnih mehanizama dovela do gubitka na Ethereum i Base mrežama, ukupni DeFi gubici premašili 770 miliona dolara ove godine
Wasabi Protocol, platforma za trgovanje perpetual ugovorima na Ethereum i Base mrežama, pretrpela je gubitak od oko 4,55 miliona dolara (oko 495 miliona dinara) nakon što su napadači kompromitovali njen deployer admin ključ. Incident je potvrđen od strane bezbednosne firme, čiji je sistem za detekciju pretnji identifikovao napad u toku, a eksploatacija je omogućila napadaču da preuzme ADMIN_ROLE i izvrši nadogradnju vault smart ugovora na maliciozne verzije.
Kritični faktor u ovom napadu bio je izostanak zaštitnih mehanizama kao što su timelock ili multisig na admin nalogu, što je omogućilo neometano grantovanje administratorskih prava i promenu logike smart ugovora kroz UUPS-upgrade mehanizam. Napadač je iskoristio takozvani externally owned account (EOA) – wasabideployer.eth – koji je imao isključivu kontrolu nad administratorskim privilegijama. Bezbrižno dodeljivanje prava omogućilo je napadaču da kroz pomoćni smart ugovor zameni vault i LongPool ugovore malicioznim verzijama i isprazni više poolova na obe mreže.
Ova vrsta eksploatacije nije nova u DeFi sektoru: sličan scenario zabeležen je i ranije ovog meseca na Drift protokolu, kada je key-compromise eksploatacija rezultirala gubitkom od 285 miliona dolara. Ukupni gubici u decentralizovanom finansijskom sektoru za 2026. godinu sada premašuju 770 miliona dolara, a samo u poslednjih mesec dana zabeleženo je više od 605 miliona dolara štete u najmanje 12 incidenata.
U kontekstu ovog napada, ključna slabost bio je nedostatak timelock sistema koji bi omogućio odlaganje administrativnih akcija i dao korisnicima vreme za reakciju, kao i izostanak multisig zaštite koja bi zahtevala više potpisnika za svaku kritičnu izmenu. Eksploatacija UUPS upgradeability šeme omogućila je napadaču da promeni celokupnu logiku smart ugovora, što dodatno naglašava ranjivost DeFi protokola bez višeslojne zaštite.
Incident na Wasabi Protocol još jednom potvrđuje koliko je decentralizovani finansijski ekosistem i dalje podložan napadima usled centralizovanih kontrolnih tačaka i neadekvatne bezbednosne prakse. Za poređenje, gubici na srpskom Belex15 indeksu gotovo su zanemarljivi u odnosu na ovakve DeFi incidente, dok lokalno kripto tržište i dalje funkcioniše bez jasne regulative i zaštitnih mehanizama. Očekuje se da će nakon ovog incidenta DeFi projekti dodatno pojačati bezbednosne standarde, posebno u pogledu upravljanja ključevima i implementacije multisig i timelock mehanizama.