یک سوءاستفاده که قفل نقدینگی قدیمی DxSale در زنجیره BNB را هدف قرار داد، ۷.۳ میلیون دلار از حدود ۱,۴۰۰ استخر نقدینگی را تخلیه کرد. تحلیلگران میگویند آسیبپذیریهای درب پشتی در قرارداد این حمله را ممکن ساخته است.
آسیبپذیری درب پشتی
سیستم به خطر افتاده نسخه قدیمیتری از قفل نقدینگی DxSale بود؛ ابزاری که توکنهای تأمینکنندگان نقدینگی را قفل میکند تا از برداشت وجوه توسط توسعهدهندگان جلوگیری کند. محققان این نقض را به آنچه که نقاط ضعف درب پشتی توصیف کردند نسبت دادند — نقاط دسترسی مخفی که به مهاجم اجازه میداد تا بررسیهای امنیتی عادی را دور بزند و داراییها را تخلیه کند.
شرکتهای امنیتی بلاکچین که این حادثه را زیر نظر داشتند، اشاره کردند که این سوءاستفاده همزمان چندین استخر را هدف قرار داده است. مهاجم سریع عمل کرد و توکنها را از هر استخر قبل از اینکه قرارداد متوقف یا وصله شود، تخلیه کرد.
تأثیر بر استخرهای نقدینگی
۱,۴۰۰ استخر آسیبدیده طیف گستردهای از پروژههای توکن را شامل میشود که برای تأمین امنیت نقدینگی خود به قفلکننده DxSale اعتماد کرده بودند. برای بسیاری از آن پروژهها، ضرر کامل است — وجوه به سرقت رفته همان نقدینگی قفل شدهای بود که پایه معاملات در صرافیهای غیرمتمرکز را تشکیل میداد.
کاربران آن استخرها اکنون با موقعیتهای بیارزش مواجه شدهاند. برخی از پروژهها قبلاً بیانیههایی منتشر کردهاند و به جوامع خود هشدار دادهاند که توکنهای قفل شده از دست رفتهاند و احتمال بازگشت آنها کم است.
DxSale از زمان این سوءاستفاده بهروزرسانی عمومی منتشر نکرده است. تیم این شرکت احتمالاً در حال کار بر روی گزارشی از حادثه و رفع آسیبپذیری است. اما در حال حاضر، هیچ جدول زمانی برای جبران خسارت یا رفع مشکل وجود ندارد.
این سوءاستفاده یادآوری است که قراردادهای هوشمند قدیمی میتوانند با تکامل اکوسیستم دیفای به بمبهای ساعتی تبدیل شوند. حسابرسان و توسعهدهندگان از پروژههایی که از قفلکنندههای قدیمی استفاده میکنند میخواهند که به نسخههای بهروز مهاجرت کنند — قبل از اینکه مهاجم بعدی در را پیدا کند.
