Decentralizovaná finanční platforma DxSale přišla o 7,3 milionu dolarů poté, co útočník zneužil likviditní fondy, které byly od roku 2021 neaktivní. Incident zasáhl přibližně 1 400 fondů na BNBChain, přičemž prostředky byly odčerpány z tokenů, které jejich tvůrci pravděpodobně opustili.
Jak exploit fungoval
Útočník se zaměřil na fondy vytvořené během býčího trhu v roce 2021, z nichž mnohé zůstaly roky nedotčené. Podle údajů z řetězce útočník použil metodu, která mu umožnila vybrat uzamčenou likviditu z těchto fondů. DxSale potvrdil narušení na svých sociálních sítích a uživatele informoval, že zneužité fondy pocházejí všechny z roku 2021 a nemají žádný aktivní objem obchodování. Platforma vyzvala držitele tokenů a projektové týmy, aby zrušili schválení pro všechny smlouvy spojené s těmito fondy. Útočníkovi se podařilo ukradené tokeny převést na BNB a další aktiva a poté přesunul prostředky přes několik peněženek, aby zamaskoval stopu.
Dopad na uživatele a projekty
Pro projekty, které tyto fondy vytvořily před třemi lety, je ztráta úplná – uzamčená likvidita, která měla podpořit jejich tokeny, je pryč. Mnohé z těchto projektů byly pravděpodobně zaniklé nebo opuštěné, ale několik jich mohlo zůstat aktivních. DxSale uvedl, že spolupracuje s bezpečnostními firmami a blockchainovými analytiky na stopování prostředků, ale vzhledem k uplynulému času a anonymitě útočníka se zotavení zdá nepravděpodobné. Samotná platforma není insolventní, ale narušení vyvolává otázky o bezpečnosti zastaralých likviditních fondů na decentralizovaných burzách. DxSale pozastavil vytváření nových fondů na BNBChain, dokud neprovede úplný audit svých chytrých kontraktů.
Širší důsledky pro DeFi
Tento incident poukazuje na trvalou zranitelnost v DeFi: opuštěné nebo nesledované likviditní fondy se mohou stát časovanými bombami. Mnoho tokenů spuštěných během horečky v roce 2021 mělo likviditu uzamčenou na určené období, ale když toto období vypršelo, nikdo ji neodstranil ani neaktualizoval kontrakt. Útočník se znalostí starého kódu kontraktu někdy najde způsob, jak prostředky stáhnout.
DxSale není první platformou, která utrpěla takový útok, a pravděpodobně ani poslední. Celková hodnota uzamčená ve fondech BNBChain z roku 2021 není známa, ale odčerpaných 7,3 milionu dolarů představuje pouze zlomek toho, co může být stále zranitelné.
Co DxSale dělá dál
Tým zavedl nouzová opatření, včetně dočasného pozastavení vytváření všech fondů a přezkumu každého aktivního kontraktu. Také požádali uživatele, aby hlásili jakoukoli podezřelou aktivitu. Úplná analýza příčin se očekává v příštím týdnu a bude zahrnovat seznam adres postižených fondů a plán, jak zabránit podobným exploitům.
Prozatím zůstávají ukradené prostředky nevystopované a identita útočníka neznámá. DxSale se dále zaměří na posílení procesu ověřování kontraktů a případně zavede požadavek na time-lock nebo multisig pro starší fondy.
