Eine dezentrale Finanzplattform, DxSale, hat 7,3 Millionen Dollar verloren, nachdem ein Angreifer Liquiditätspools ausgenutzt hat, die seit 2021 inaktiv waren. Der Vorfall betraf rund 1.400 Pools auf der BNBChain, wobei Gelder aus Token abgezogen wurden, die von ihren Erstellern wahrscheinlich aufgegeben worden waren.
Wie der Exploit funktionierte
Der Angreifer zielte auf Pools ab, die während des Bullenmarkts von 2021 erstellt worden waren und von denen viele jahrelang unberührt blieben. Laut On-Chain-Daten nutzte der Angreifer eine Methode, die es ihm ermöglichte, die gesperrte Liquidität aus diesen Pools abzuheben. DxSale bestätigte den Angriff auf seinen Social-Media-Kanälen und wies die Nutzer darauf hin, dass die betroffenen Pools alle aus dem Jahr 2021 stammten und kein aktives Handelsvolumen aufwiesen.
Die Plattform forderte Token-Inhaber und Projektteams auf, die Genehmigungen für Verträge, die mit diesen Pools verbunden waren, zu widerrufen. Der Angreifer konnte die gestohlenen Token in BNB und andere Vermögenswerte umwandeln und die Gelder dann über mehrere Wallets verschieben, um die Spur zu verwischen.
Auswirkungen auf Nutzer und Projekte
Für die Projekte, die diese Pools vor drei Jahren erstellt haben, ist der Verlust total – die gesperrte Liquidität, die ihre Token stützen sollte, ist weg. Viele dieser Projekte waren wahrscheinlich inzwischen aufgelöst oder aufgegeben, aber einige könnten noch aktiv gewesen sein. DxSale gab an, mit Sicherheitsfirmen und Blockchain-Analysten zusammenzuarbeiten, um die Gelder zu verfolgen, aber eine Wiederbeschaffung scheint angesichts der verstrichenen Zeit und der Anonymität des Angreifers unwahrscheinlich.
Die Plattform selbst ist nicht insolvent, aber der Vorfall wirft Fragen zur Sicherheit alter Liquiditätspools auf dezentralen Börsen auf. DxSale hat die Erstellung neuer Pools auf der BNBChain vorerst ausgesetzt, während eine vollständige Prüfung seiner Smart Contracts durchgeführt wird.
Breitere Auswirkungen auf DeFi
Dieser Vorfall unterstreicht eine anhaltende Schwachstelle im DeFi-Bereich: verlassene oder unbeaufsichtigte Liquiditätspools können zu tickenden Zeitbomben werden. Viele Token, die während des Hypes von 2021 gestartet wurden, hatten ihre Liquidität für einen festgelegten Zeitraum gesperrt, doch nach Ablauf dieser Frist entfernte niemand die Sperre oder aktualisierte den Vertrag. Ein Angreifer mit Kenntnis des alten Vertragscodes kann manchmal einen Weg finden, die Gelder abzuziehen.
DxSale ist nicht die erste Plattform, die einen solchen Angriff erleidet, und wird wahrscheinlich nicht die letzte sein. Der Gesamtwert der in BNBChain-Pools von 2021 gebundenen Liquidität ist unbekannt, aber die entwendeten 7,3 Millionen Dollar stellen nur einen Bruchteil dessen dar, was noch anfällig sein könnte.
Was DxSale als Nächstes tut
Das Team hat Notfallmaßnahmen ergriffen, darunter einen vorübergehenden Stopp aller Pool-Erstellungen und eine Überprüfung jedes aktiven Vertrags. Zudem wurden die Nutzer aufgefordert, verdächtige Aktivitäten zu melden. Eine ausführliche Nachanalyse wird innerhalb der nächsten Woche erwartet, die eine Liste der betroffenen Pool-Adressen und einen Plan zur Verhinderung ähnlicher Angriffe enthalten wird.
Die gestohlenen Gelder bleiben vorerst unauffindbar, und die Identität des Angreifers ist unbekannt. DxSales nächster Schritt wird die Stärkung seines Vertragsprüfungsprozesses sein und möglicherweise die Einführung einer Zeitverriegelung oder eines Multisig-Erfordernisses für ältere Pools.
