TechFlowより、5月9日、Wasabi Protocolはセキュリティインシデントに関する最新情報を発表しました。同社によると、攻撃者はAWSインフラストラクチャ内のSpring Boot Actuatorの設定脆弱性を悪用し、EVM上で実行されるスマートコントラクトを制御するための秘密鍵を窃取。これにより、関連するコントラクトから約480万米ドルのユーザー資金および約90万米ドルのプロトコル金庫資金が盗まれ、総損害額は約570万米ドルに上りました。
攻撃の起点は、分析用途で使用されていたパブリックネットワーク上のサーバーでした。このサーバーのActuatorヒープダンプが適切なパスワード保護を受けておらず、攻撃者はその結果、別のサーバーへの認証情報(クレデンシャル)を入手。最終的にスマートコントラクトの秘密鍵の制御権を獲得しました。今回のインシデントはEVM上での展開に限定されており、イーサリアム、Base、BlastおよびBerachain上の一部の金庫が影響を受けましたが、Solana上での展開およびProp AMMは影響を受けていません。現時点では、ユーザーへの補償に関する最終的な対応策はまだ発表されていませんが、「すべての被害を受けたユーザーに補償すること」は引き続きチームの最優先事項です。今後の調査進捗については、Discordコミュニティにて随時更新される予定です。
お気に入りに追加
SNSで共有
