Mehr als 1.400 Liquiditäts-Pools, die mit alten DxSale-Verträgen auf der BNB Chain verbunden sind, wurden in einem Exploit in Höhe von 7,3 Millionen Dollar geplündert, der erstmals am 29. Mai von einem Nutzer namens 'Tahax' gemeldet wurde. Der Angreifer entnahm Gelder aus DxSales Locker – einem Vertrag, der LP-Tokens von vor Jahren gestarteten Projekten verwahrte – und leitete sie über AnySwap weiter, um die Spur zu verwischen. Der Exploit trägt zu einem brutalen Monat für die Kryptosicherheit bei, bei dem Verluste bei Brücken und Kreditprotokollen zunehmen.
So funktionierte der Exploit
Der Angreifer nutzte die Wallet 0xC457...FA69, eine neue Adresse, die von Bybit finanziert wurde und möglicherweise über AnySwap geroutet war, um die Eigentümerschaft am DxSale-Locker-Vertrag zu übernehmen. Dieser Vertrag war unverifiziert und enthielt vermutlich eine Hintertür, die der Angreifer ausnutzte, um die LP-Tokens innerhalb weniger Stunden zu entleeren. Anschließend wurden 2.958 BNB (1,87 Millionen Dollar) in zwei Hauptwallets übertragen und dann über Einzahlungsadressen auf Binance weitergeleitet.
Ein stiller Eigentümerwechsel
Vor knapp neun Monaten übertrug der DxSale-Deployer die Eigentümerschaft des Lockers an eine neue Wallet – ohne öffentliche Ankündigung oder Migrationshinweis. Die alten Verträge waren jahrelang unangetastet geblieben und stellten somit ein lohnendes Ziel dar. DxSale, eine Launchpad-Plattform, hat seit der Entdeckung des Exploits keine Stellungnahme abgegeben.
Teil eines brutalen Mai
Dies ist kein Einzelfall. Der Kryptosektor verlor im April aufgrund ähnlicher Angriffe mindestens 650 Millionen Dollar. Allein im Mai gab es einen Exploit der Verus-Brücke in Höhe von 11 Millionen Dollar, einen Angriff auf TrustedVolumes in Höhe von 5,9 Millionen Dollar und möglicherweise einen Vorfall bei THORChain mit 10 Millionen Dollar. OpenZeppelin-Mitbegründer Manuel Aráoz erklärte, dass die gesamte DeFi unsicher sei, und argumentierte, dass von KI unterstützte Angreifer Sicherheitslücken schneller entdecken, als Sicherheitsteams sie schließen können. Der DxSale-Locker – alt, unverifiziert und stillschweigend übertragen – passt in dieses düstere Muster.
DxSale hat bislang keine Stellungnahme zu den Vorwürfen abgegeben. Der Locker-Vertrag bleibt unpatched, und die Spur des Angreifers über AnySwap bedeutet, dass die Gelder wahrscheinlich unwiderruflich verloren sind.
