Mere end 1.400 likviditetspools knyttet til gamle DxSale-kontrakter på BNB Chain blev drænet i et angreb på $7,3 millioner, som først blev påpeget den 29. maj af en bruger ved navn 'Tahax'. Angriberen trak midler fra DxSales låser — en kontrakt, der indeholdt LP-tokens fra projekter lanceret for år siden — og flyttede dem via AnySwap for at skjule sporet. Angrebet føjer sig til en brutal måned for kryptosikkerhed, med tab, der hober sig op på tværs af broer og låneprotokoller.
Sådan fungerede angrebet
Angriberen brugte wallet 0xC457...FA69, en ny adresse finansieret fra Bybit og muligvis dirigeret gennem AnySwap, til at overtage ejerskabet af DxSales låsekontrakt. Den kontrakt var uverificeret og indeholdt sandsynligvis en bagdør, som angriberen udnyttede til at dræne LP-tokens i løbet af få timer. Derfra blev 2.958 BNB (1,87 millioner dollars) overført til to primære wallets og derefter flyttet gennem indbetalingsadresser på Binance.
Et stille ejerskifte
For næsten ni måneder siden overførte DxSale-udvikleren ejerskabet af låseren til en ny wallet — uden offentlig annoncering eller migrationsmeddelelse. De gamle kontrakter havde ligget urørt i årevis, hvilket gjorde dem til et oplagt mål. DxSale, en launchpad-platform, har ikke udtalt sig om angrebet siden det blev opdaget.
Del af en brutal maj
Dette er ikke en isoleret hændelse. Kryptosektoren mistede mindst 650 millioner dollars i april fra lignende hacks. Maj alene så et angreb på Verus-broen på 11 millioner dollars, et angreb på TrustedVolumes på 5,9 millioner dollars og en mulig THORChain-hændelse på 10 millioner dollars. OpenZeppelin-medstifter Manuel Aráoz erklærede, at 'al DeFi er usikker', og argumenterede for, at AI-assisterede angribere finder sårbarheder hurtigere, end sikkerhedsteams kan patche dem. DxSales låser — gammel, uverificeret og stille overført — passer ind i det dystre mønster.
DxSale har endnu ikke svaret på henvendelser om kommentar. Låsekontrakten forbliver upatchet, og angriberens spor gennem AnySwap betyder, at midlerne sandsynligvis er tabt for altid.
