Více než 1 400 likviditních poolů napojených na staré kontrakty DxSale na BNB Chain bylo vyčerpáno při exploitaci v hodnotě 7,3 milionu dolarů, kterou jako první 29. května nahlásil uživatel 'Tahax'. Útočník stáhl prostředky z DxSale trezoru – kontraktu, který držel LP tokeny z projektů spuštěných před lety – a přesunul je přes AnySwap, aby zastřel stopy. Tento exploit přidává k brutálnímu měsíci pro krypto bezpečnost, kdy ztráty narůstají napříč mosty a úvěrovými protokoly.
Jak exploit fungoval
Útočník použil peněženku 0xC457...FA69, novou adresu financovanou z Bybit a pravděpodobně směrovanou přes AnySwap, aby získal vlastnictví trezorového kontraktu DxSale. Ten nebyl ověřen a pravděpodobně obsahoval zadní vrátka, která útočník využil k vyčerpání LP tokenů během několika hodin. Poté bylo 2 958 BNB (1,87 milionu dolarů) převedeno do dvou hlavních peněženek a následně přesunuto přes vkladové adresy na Binance.
Tichá změna vlastnictví
Téměř před devíti měsíci převedl deployer DxSale vlastnictví trezoru na novou peněženku – bez jakéhokoli veřejného oznámení nebo upozornění na migraci. Staré kontrakty zůstávaly roky nedotčené, což z nich učinilo snadný cíl. DxSale, platforma pro spouštění projektů, od objevení exploitace neučinila žádné prohlášení.
Součást brutálního května
Nejde o ojedinělý incident. Krypto sektor ztratil v dubnu nejméně 650 milionů dolarů kvůli podobným hackům. Jen v květnu došlo k exploitaci mostu Verus za 11 milionů dolarů, útoku na TrustedVolumes za 5,9 milionu dolarů a možnému incidentu THORChain za 10 milionů dolarů. Spoluzakladatel OpenZeppelin Manuel Aráoz prohlásil, že 'celý DeFi je nebezpečný', a tvrdí, že útočníci s podporou AI nacházejí zranitelnosti rychleji, než je týmy zabývající se bezpečností stíhají opravit. Trezor DxSale – starý, neověřený a tiše převedený – do tohoto ponurého vzorce zapadá.
DxSale dosud nereagoval na žádosti o komentář. Trezorový kontrakt zůstává neopravený a stopa útočníka vedoucí přes AnySwap znamená, že prostředky jsou pravděpodobně nenávratně ztraceny.
