বিএনবি চেইনে পুরনো DxSale চুক্তির সাথে যুক্ত ১,৪০০টিরও বেশি লিকুইডিটি পুল $৭.৩ মিলিয়নের একটি শোষণে খালি করা হয়েছে, যা ২৯ মে 'Tahax' নামে একজন ব্যবহারকারী প্রথম চিহ্নিত করেছিলেন। আক্রমণকারী DxSale-এর লকার থেকে তহবিল সরিয়ে নেয় — একটি চুক্তি যাতে বছরের পর বছর আগে চালু হওয়া প্রকল্পগুলির LP টোকেন ছিল — এবং পথ ঢাকতে AnySwap-এর মাধ্যমে স্থানান্তর করে। এই শোষণ ক্রিপ্টো নিরাপত্তার জন্য একটি নৃশংস মাসকে আরও জোরালো করে, যেখানে ব্রিজ এবং লেন্ডিং প্রোটোকল জুড়ে ক্ষতি জমা হচ্ছে।
শোষণ কিভাবে কাজ করেছে
আক্রমণকারী Bybit থেকে অর্থায়িত এবং সম্ভবত AnySwap-এর মাধ্যমে রুট করা একটি নতুন ঠিকানা 0xC457...FA69 ব্যবহার করে DxSale-এর লকার চুক্তির মালিকানা গ্রহণ করে। সেই চুক্তিটি অযাচাইকৃত ছিল এবং সম্ভবত এতে একটি পিছনের দরজা ছিল, যা আক্রমণকারী কয়েক ঘণ্টার মধ্যে LP টোকেন খালি করতে কাজে লাগিয়েছিল। সেখান থেকে, ২,৯৫৮ BNB ($১.৮৭ মিলিয়ন) দুটি প্রধান ওয়ালেটে স্থানান্তরিত হয়, তারপর Binance-এ জমা ঠিকানাগুলির মাধ্যমে সরানো হয়।
একটি নীরব মালিকানা পরিবর্তন
প্রায় নয় মাস আগে, DxSale ডিপ্লয়ার লকারের মালিকানা একটি নতুন ওয়ালেটে স্থানান্তর করে — কোনো প্রকাশ্য ঘোষণা বা মাইগ্রেশন নোটিশ ছাড়াই। পুরনো চুক্তিগুলি বছরের পর বছর ধরে অক্ষত ছিল, যা তাদের একটি পাকা লক্ষ্য করে তুলেছিল। একটি লঞ্চপ্যাড প্ল্যাটফর্ম DxSale আবিষ্কারের পর থেকে এই শোষণ সম্পর্কে কোনো বক্তব্য দেয়নি।
একটি নৃশংস মে মাসের অংশ
এটি একটি বিচ্ছিন্ন ঘটনা নয়। ক্রিপ্টো খাত এপ্রিলে অনুরূপ হ্যাক থেকে কমপক্ষে $৬৫০ মিলিয়ন হারিয়েছে। শুধু মে মাসেই একটি $১১ মিলিয়নের Verus ব্রিজ শোষণ, TrustedVolumes-এ $৫.৯ মিলিয়নের আক্রমণ এবং সম্ভাব্য $১০ মিলিয়নের THORChain ঘটনা দেখা গেছে। OpenZeppelin-এর সহ-প্রতিষ্ঠাতা Manuel Aráoz বলেছেন 'সমস্ত DeFi নিরাপদ নয়', যুক্তি দিয়ে যে AI-সহায়ক আক্রমণকারীরা নিরাপত্তা দলগুলির প্যাচ করার চেয়ে দ্রুত দুর্বলতা খুঁজে পাচ্ছে। DxSale লকার — পুরনো, অযাচাইকৃত এবং নীরবে স্থানান্তরিত — সেই বিষণ্ণ প্যাটার্নের সাথে মিলে যায়।
DxSale এখনও মন্তব্যের অনুরোধের উত্তর দেয়নি। লকার চুক্তিটি অপরিবর্তিত রয়েছে এবং AnySwap-এর মাধ্যমে আক্রমণকারীর পথ মানে তহবিল সম্ভবত চিরতরে হারিয়ে গেছে।
