DxSale در یک سوءاستفاده از استخرهای BNBChain سال ۲۰۲۱، ۷.۳ میلیون دلار از دست داد

یک پلتفرم مالی غیرمتمرکز به نام DxSale پس از آنکه یک مهاجم از استخرهای نقدینگی که از سال ۲۰۲۱ غیرفعال بودند، سوءاستفاده کرد، ۷.۳ میلیون دلار از دست داد. این حادثه حدود ۱,۴۰۰ استخر در زنجیره BNB را تحت تأثیر قرار داد و وجوهی از توکن‌هایی که احتمالاً توسط سازندگانشان رها شده بودند، برداشت شد.

نحوه عملکرد سوءاستفاده

مهاجم استخرهایی را که در طول رونق بازار ۲۰۲۱ ایجاد شده بودند و بسیاری از آنها سال‌ها دست‌نخورده باقی مانده بودند، هدف قرار داد. بر اساس داده‌های زنجیره‌ای، بهره‌بردار از روشی استفاده کرد که به او امکان برداشت نقدینگی قفل‌شده از این استخرها را می‌داد. DxSale این نقض را در کانال‌های رسانه‌های اجتماعی خود تأیید کرد و به کاربران اطلاع داد که استخرهای مورد سوءاستفاده همگی مربوط به سال ۲۰۲۱ بودند و هیچ حجم معاملاتی فعال نداشتند.

این پلتفرم از دارندگان توکن و تیم‌های پروژه خواست تا تأییدیه‌های هر قرارداد مرتبط با آن استخرها را لغو کنند. مهاجم موفق شد توکن‌های سرقت‌شده را به BNB و سایر دارایی‌ها تبدیل کند و سپس وجوه را از طریق چندین کیف پول جابه‌جا کند تا ردپا را پنهان کند.

تأثیر بر کاربران و پروژه‌ها

برای پروژه‌هایی که سه سال پیش آن استخرها را ایجاد کردند، ضرر کامل است — نقدینگی قفل‌شده‌ای که قرار بود از توکن‌هایشان پشتیبانی کند، از بین رفته است. بسیاری از آن پروژه‌ها احتمالاً منحل یا رها شده بودند، اما ممکن است تعداد کمی همچنان فعال بوده باشند. DxSale اعلام کرد که با شرکت‌های امنیتی و تحلیلگران بلاک‌چین برای ردیابی وجوه همکاری می‌کند، اما با توجه به elapsed time و ناشناس بودن مهاجم، بازیابی بعید به نظر می‌رسد.

خود پلتفرم ورشکسته نیست، اما این نقض سوالاتی را در مورد امنیت استخرهای نقدینگی قدیمی در صرافی‌های غیرمتمرکز ایجاد می‌کند. DxSale ایجاد استخر جدید در BNBChain را تا انجام ممیزی کامل از قراردادهای هوشمند خود متوقف کرده است.

پیامدهای گسترده‌تر برای DeFi

این حادثه یک آسیب‌پذیری پایدار در DeFi را برجسته می‌کند: استخرهای نقدینگی رها شده یا بدون نظارت می‌توانند به بمب‌های ساعتی تبدیل شوند. بسیاری از توکن‌هایی که در خلال هیاهوی سال ۲۰۲۱ راه‌اندازی شدند، نقدینگی خود را برای یک دوره مشخص قفل کرده بودند، اما وقتی آن دوره منقضی شد، هیچ‌کس آن را حذف یا قرارداد را به‌روزرسانی نکرد. یک مهاجم با آگاهی از کد قرارداد قدیمی گاهی می‌تواند راهی برای برداشت وجوه پیدا کند.

DxSale اولین پلتفرمی نیست که دچار چنین حمله‌ای می‌شود و احتمالاً آخرین آن نیز نخواهد بود. ارزش کل قفل‌شده در استخرهای BNBChain از سال ۲۰۲۱ نامشخص است، اما ۷.۳ میلیون دلار برداشت‌شده تنها کسری از آنچه هنوز ممکن است آسیب‌پذیر باشد را نشان می‌دهد.

اقدامات بعدی DxSale

تیم اقدامات اضطراری از جمله توقف موقت ایجاد همه استخرها و بررسی هر قرارداد فعال را اجرا کرده است. آنها همچنین از کاربران خواسته‌اند تا هرگونه فعالیت مشکوک را گزارش دهند. یک تحلیل کامل پس از حادثه (post-mortem) ظرف یک هفته آینده انتظار می‌رود که شامل فهرستی از آدرس‌های استخرهای آسیب‌دیده و برنامه‌ای برای جلوگیری از سوءاستفاده‌های مشابه باشد.

در حال حاضر، وجوه سرقت‌شده ردیابی نشده و هویت مهاجم ناشناخته باقی مانده است. حرکت بعدی DxSale تقویت فرآیند تأیید قرارداد و احتمالاً معرفی الزام قفل زمانی یا چند امضایی برای استخرهای قدیمی خواهد بود.