بیش از ۱۴۰۰ استخر نقدینگی مرتبط با قراردادهای قدیمی DxSale در زنجیره BNB در یک بهرهبرداری ۷.۳ میلیون دلاری که اولین بار در ۲۹ مه توسط کاربری به نام 'Tahax' شناسایی شد، تخلیه شدند. مهاجم وجوه را از قفلکننده DxSale - قراردادی که توکنهای LP از پروژههای راهاندازی شده سالها پیش را نگه میداشت - خارج کرد و از طریق AnySwap آنها را جابجا کرد تا رد پا را پنهان کند. این بهرهبرداری به ماه وحشتناکی برای امنیت ارزهای دیجیتال میافزاید، با زیانهایی که در پلها و پروتکلهای وامدهی انباشته شده است.
نحوه عملکرد بهرهبرداری
مهاجم از کیف پول 0xC457...FA69، یک آدرس جدید که از Bybit تأمین مالی شده و احتمالاً از طریق AnySwap مسیریابی شده بود، برای تصاحب مالکیت قرارداد قفلکننده DxSale استفاده کرد. آن قرارداد تأیید نشده بود و احتمالاً حاوی یک در پشتی بود که مهاجم از آن برای تخلیه توکنهای LP در عرض چند ساعت بهره برد. از آنجا، ۲,۹۵۸ BNB (۱.۸۷ میلیون دلار) به دو کیف پول اصلی منتقل شد و سپس از طریق آدرسهای واریز در Binance جابجا شد.
تغییر مالکیت خاموش
نزدیک به نه ماه پیش، استقراردهنده DxSale مالکیت قفلکننده را به یک کیف پول جدید منتقل کرد - بدون هیچ اعلام عمومی یا اطلاعیه مهاجرت. قراردادهای قدیمی سالها دست نخورده باقی مانده بودند و آنها را به هدفی آماده تبدیل کرده بود. DxSale، یک پلتفرم راهاندازی، از زمان کشف این بهرهبرداری هیچ بیانیهای منتشر نکرده است.
بخشی از مه وحشتناک
این یک حادثه مجزا نیست. بخش ارزهای دیجیتال در ماه آوریل حداقل ۶۵۰ میلیون دلار از هکهای مشابه از دست داد. ماه مه به تنهایی شاهد بهرهبرداری ۱۱ میلیون دلاری پل Verus، حمله ۵.۹ میلیون دلاری به TrustedVolumes و یک حادثه احتمالی ۱۰ میلیون دلاری THORChain بود. مانوئل آرائوز، یکی از بنیانگذاران OpenZeppelin، اعلام کرد که 'همه دیفای ناایمن است' و استدلال کرد که مهاجمان با کمک هوش مصنوعی سریعتر از تیمهای امنیتی آسیبپذیریها را پیدا میکنند. قفلکننده DxSale - قدیمی، تأیید نشده و بیصدا منتقل شده - با این الگوی غمانگیز مطابقت دارد.
DxSale هنوز به درخواستهای اظهار نظر پاسخ نداده است. قرارداد قفلکننده همچنان وصله نشده باقی مانده است و رد پای مهاجم از طریق AnySwap به این معنی است که وجوه احتمالاً برای همیشه از دست رفته است.
