Μια πλατφόρμα αποκεντρωμένων οικονομικών, η DxSale, έχει αποστραγγιστεί από 7,3 εκατομμύρια δολάρια μετά από εκμετάλλευση δεξαμενών ρευστότητας που ήταν ανενεργές από το 2021. Το περιστατικό επηρέασε περίπου 1.400 δεξαμενές στο BNBChain, με κεφάλαια να αφαιρούνται από tokens που πιθανότατα εγκαταλείφθηκαν από τους δημιουργούς τους.
Πώς λειτούργησε η εκμετάλλευση
Ο επιτιθέμενος στόχευσε δεξαμενές που δημιουργήθηκαν κατά τη διάρκεια της ανοδικής αγοράς του 2021, πολλές από τις οποίες είχαν μείνει ανέγγιχτες για χρόνια. Σύμφωνα με δεδομένα on-chain, ο εκμεταλλευτής χρησιμοποίησε μια μέθοδο που του επέτρεψε να αποσύρει την κλειδωμένη ρευστότητα από αυτές τις δεξαμενές. Η DxSale επιβεβαίωσε την παραβίαση στα μέσα κοινωνικής δικτύωσής της, συμβουλεύοντας τους χρήστες ότι οι δεξαμενές που εκμεταλλεύτηκαν ήταν όλες από το 2021 και δεν είχαν ενεργό όγκο συναλλαγών.
Η πλατφόρμα προέτρεψε τους κατόχους tokens και τις ομάδες έργων να ανακαλέσουν εγκρίσεις για οποιαδήποτε συμβόλαια συνδέονται με αυτές τις δεξαμενές. Ο επιτιθέμενος κατάφερε να μετατρέψει τα κλεμμένα tokens σε BNB και άλλα περιουσιακά στοιχεία, και στη συνέχεια μετακίνησε τα κεφάλαια μέσω πολλαπλών πορτοφολιών για να συγκαλύψει το ίχνος.
Επιπτώσεις σε χρήστες και έργα
Για τα έργα που δημιούργησαν αυτές τις δεξαμενές πριν από τρία χρόνια, η απώλεια είναι ολική — η κλειδωμένη ρευστότητα που προοριζόταν να υποστηρίξει τα tokens τους έχει χαθεί. Πολλά από αυτά τα έργα ήταν πιθανότατα ανενεργά ή εγκαταλελειμμένα, αλλά μερικά μπορεί να παρέμειναν ενεργά. Η DxSale δήλωσε ότι συνεργάζεται με εταιρείες ασφαλείας και αναλυτές blockchain για να εντοπίσει τα κεφάλαια, αλλά η ανάκτηση φαίνεται απίθανη δεδομένου του χρόνου που έχει παρέλθει και της ανωνυμίας του επιτιθέμενου.
Η ίδια η πλατφόρμα δεν είναι αφερέγγυα, αλλά η παραβίαση εγείρει ερωτήματα σχετικά με την ασφάλεια των παλαιών δεξαμενών ρευστότητας σε αποκεντρωμένα ανταλλακτήρια. Η DxSale έχει θέσει σε προσωρινή αναστολή τη δημιουργία νέων δεξαμενών στο BNBChain ενώ διεξάγει πλήρη έλεγχο των έξυπνων συμβολαίων της.
Ευρύτερες επιπτώσεις για το DeFi
Αυτό το περιστατικό αναδεικνύει μια διαρκή ευπάθεια στο DeFi: εγκαταλελειμμένες ή μη παρακολουθούμενες δεξαμενές ρευστότητας μπορούν να γίνουν ωρολογιακές βόμβες. Πολλά tokens που κυκλοφόρησαν κατά τη διάρκεια της φρενίτιδας του 2021 είχαν κλειδωμένη ρευστότητα για μια καθορισμένη περίοδο, αλλά όταν έληξε αυτή η περίοδος, κανείς δεν την αφαίρεσε ούτε ενημέρωσε το συμβόλαιο. Ένας επιτιθέμενος με γνώση του παλιού κώδικα του συμβολαίου μπορεί μερικές φορές να βρει τρόπο να αποσύρει τα κεφάλαια.
Η DxSale δεν είναι η πρώτη πλατφόρμα που υφίσταται αυτό το είδος επίθεσης, και πιθανότατα δεν θα είναι η τελευταία. Η συνολική αξία που είναι κλειδωμένη σε δεξαμενές BNBChain από το 2021 είναι άγνωστη, αλλά τα 7,3 εκατομμύρια δολάρια που αφαιρέθηκαν αντιπροσωπεύουν μόνο ένα κλάσμα αυτού που μπορεί να είναι ακόμα ευάλωτο.
Τι κάνει η DxSale στη συνέχεια
Η ομάδα έχει εφαρμόσει μέτρα έκτακτης ανάγκης, συμπεριλαμβανομένης μιας προσωρινής παύσης στη δημιουργία όλων των δεξαμενών και μιας αναθεώρησης κάθε ενεργού συμβολαίου. Έχουν επίσης ζητήσει από τους χρήστες να αναφέρουν οποιαδήποτε ύποπτη δραστηριότητα. Μια πλήρης ανάλυση αναμένεται εντός της επόμενης εβδομάδας, η οποία θα περιλαμβάνει μια λίστα με τις διευθύνσεις των επηρεαζόμενων δεξαμενών και ένα σχέδιο για την αποτροπή παρόμοιων εκμεταλλεύσεων.
Προς το παρόν, τα κλεμμένα κεφάλαια παραμένουν μη εντοπισμένα, και η ταυτότητα του επιτιθέμενου άγνωστη. Η επόμενη κίνηση της DxSale θα είναι να ενισχύσει τη διαδικασία επαλήθευσης των συμβολαίων της και ενδεχομένως να εισαγάγει μια απαίτηση χρονικής κλειδαριάς ή multisig για παλαιότερες δεξαμενές.
