Una plataforma de finanzas descentralizadas, DxSale, ha sufrido la pérdida de $7.3 millones después de que un atacante explotara pools de liquidez que habían estado inactivos desde 2021. El incidente afectó aproximadamente a 1,400 pools en BNBChain, y los fondos fueron extraídos de tokens que probablemente fueron abandonados por sus creadores.
Cómo funcionó la explotación
El atacante apuntó a pools creados durante el auge de 2021, muchos de los cuales habían quedado sin tocar durante años. Según datos en cadena, el explotador utilizó un método que le permitió retirar la liquidez bloqueada de estos pools. DxSale confirmó la brecha en sus redes sociales, advirtiendo a los usuarios que los pools explotados eran todos de 2021 y no tenían volumen de negociación activo.
La plataforma instó a los tenedores de tokens y equipos de proyectos a revocar las aprobaciones de cualquier contrato vinculado a esos pools. El atacante logró convertir los tokens robados en BNB y otros activos, y luego movió los fondos a través de múltiples carteras para ocultar el rastro.
Impacto en usuarios y proyectos
Para los proyectos que crearon esos pools hace tres años, la pérdida es total: la liquidez bloqueada que debía respaldar sus tokens ha desaparecido. Muchos de esos proyectos probablemente estaban inactivos o abandonados, pero algunos podrían haber seguido activos. DxSale afirmó que está trabajando con firmas de seguridad y analistas de blockchain para rastrear los fondos, pero la recuperación parece improbable dado el tiempo transcurrido y el anonimato del atacante.
La plataforma en sí no es insolvente, pero la brecha plantea preguntas sobre la seguridad de los pools de liquidez obsoletos en los intercambios descentralizados. DxSale ha pausado la creación de nuevos pools en BNBChain mientras realiza una auditoría completa de sus contratos inteligentes.
Implicaciones más amplias para DeFi
Este incidente destaca una vulnerabilidad persistente en DeFi: los pools de liquidez abandonados o no monitoreados pueden convertirse en bombas de tiempo. Muchos tokens lanzados durante el frenesí de 2021 tenían su liquidez bloqueada por un período determinado, pero cuando ese período expiró, nadie la retiró ni actualizó el contrato. Un atacante con conocimiento del código del contrato antiguo a veces puede encontrar una manera de extraer los fondos.
DxSale no es la primera plataforma en sufrir este tipo de ataque, y probablemente no será la última. El valor total bloqueado en pools de BNBChain de 2021 se desconoce, pero los $7.3 millones robados representan solo una fracción de lo que aún podría estar vulnerable.
Próximos pasos de DxSale
El equipo ha implementado medidas de emergencia, incluida una congelación temporal de toda creación de pools y una revisión de cada contrato activo. También han solicitado a los usuarios que informen cualquier actividad sospechosa. Se espera un análisis completo en la próxima semana, que incluirá una lista de direcciones de pools afectados y un plan para prevenir explotaciones similares.
Por ahora, los fondos robados permanecen sin rastrear y la identidad del atacante es desconocida. El próximo paso de DxSale será fortalecer su proceso de verificación de contratos y posiblemente introducir un requisito de bloqueo temporal o multifirma para los pools más antiguos.
