Wasabi Protocol kembali menjadi sorotan setelah akses admin tunggal pada sistemnya diduga dimanfaatkan penyerang untuk mengambil alih kendali kontrak dan menguras dana lebih dari $5 juta dari perpetuals vaults serta LongPool. Temuan awal dari Blockaid dan PeckShield menunjukkan bahwa jalur masuk serangan berasal dari wallet deployer protokol, yang membuka ruang bagi pengambilalihan cepat atas kontrak di beberapa jaringan.
Kasus ini tidak hanya berdampak pada satu rantai, tetapi juga dilaporkan menyentuh Ethereum, Base, Berachain, dan Blast. Dalam pembacaan awal, jumlah dana yang terpantau keluar sempat disebut sekitar $4,55 juta, sebelum estimasi kerugian lintas jaringan mengarah ke angka yang melampaui $5 juta.
Akses admin tunggal jadi titik lemah
Blockaid menjelaskan bahwa sumber masalah berada pada wasabideployer.eth, alamat yang menjadi satu-satunya pemegang ADMIN_ROLE di AccessManager milik PerpManager Wasabi. Situasi ini membuat satu kunci saja cukup untuk membuka jalur kontrol penuh terhadap komponen penting protokol.
Menurut temuan awal, penyerang diduga memanggil grantRole pada EOA deployer tanpa jeda waktu, lalu segera mengubah kontrak pengendali agar berada di bawah kendalinya. Setelah langkah itu berhasil, penyerang dapat melanjutkan proses takeover tanpa hambatan berarti dari sisi kontrol akses.
Upgrade kontrak dipakai untuk menguras aset
Setelah memperoleh kendali, penyerang disebut melakukan UUPS-upgrade pada perpetual vaults dan LongPool menuju implementasi berbahaya. Skema tersebut dirancang untuk menguras saldo pengguna, sehingga aset yang tersimpan di kontrak terdampak langsung oleh perubahan logika di balik layar.
PeckShield menyebut total kerugian melewati $5 juta jika dihitung dari empat jaringan yang terkena. Blockaid juga menyoroti bahwa kunci deployer masih aktif, sehingga risiko lanjutan belum sepenuhnya tertutup meski penelusuran teknis masih berjalan.
Respons Wasabi dan status aset yang terdampak
Menanggapi kondisi itu, Wasabi Protocol meminta pengguna untuk tidak berinteraksi dengan kontrak Wasabi sampai pemberitahuan lebih lanjut. Langkah ini diambil karena perubahan pada kontrak diduga sudah diarahkan untuk menciptakan jalur keluar dana yang merugikan pengguna.
Token saham likuid Wasabi dan Spicy LP dari vault yang terdampak juga ditandai sebagai compromised. Nilai redemption-nya disebut mendekati nol, yang berarti aset terkait kehilangan fungsi tebus yang semestinya masih dapat digunakan pengguna.
Pola serangan yang dinilai berulang
Blockaid menilai insiden ini tidak berdiri sendiri karena punya kaitan dengan aktivitas sebelumnya yang juga menarget Wasabi. Kesamaan pada attacker, orchestrator, dan bytecode strategi menunjukkan pola yang konsisten dan mengarah pada metode serangan yang serupa.
Temuan tersebut kembali menegaskan kelemahan model keamanan yang terlalu bergantung pada satu EOA admin tanpa timelock atau multisig. Dalam kondisi seperti itu, satu titik akses saja sudah cukup untuk membuka jalan menuju kendali penuh atas protokol.
Sorotan yang lebih luas di sektor DeFi
Kasus Wasabi muncul di tengah rangkaian insiden lain yang terjadi dalam selang waktu berdekatan. BeInCrypto sebelumnya melaporkan tiga kejadian lain, termasuk penurunan dana di Sweat Economy yang ternyata merupakan penyelamatan dana foundation, serangan pada Syndicate Commons bridge di Base, dan penghentian sementara Aftermath Finance setelah kehilangan sekitar $1,14 juta USDC.
Rangkaian peristiwa itu membuat sebagian analis kembali membahas ketimpangan antara kecepatan alat serang dan kemampuan pertahanan protokol. Developer Vitto Rivabella bahkan mengemukakan teori bahwa Korea Utara telah melatih AI internal dari data DeFi yang dicuri selama bertahun-tahun, lalu membiarkan sistem itu bekerja sebagai exploiter otonom.
Rivabella menyebut skenario itu sebagai “wild conspiracy theory” tentang AI DeFi hacker yang terus berjalan sampai dihentikan. Meski terdengar spekulatif, perhatian utamanya tetap tertuju pada fakta bahwa sistem dengan role admin tunggal masih menjadi sasaran paling mudah bagi penyerang.
Dalam konteks ini, serangan pada Wasabi memperlihatkan bahwa masalah paling besar tidak selalu terletak pada rumitnya kode, melainkan pada desain akses yang terlalu terpusat. Selama model satu kunci tetap digunakan, risiko exploit serupa masih akan terus membayangi protokol DeFi di berbagai chain.