Hajautettu rahoitusalusta DxSale on menettänyt 7,3 miljoonaa dollaria, kun hyökkääjä hyödynsi likviditeettipooleja, jotka olivat olleet käyttämättä vuodesta 2021. Tapaus vaikutti noin 1 400 pooliin BNBChainissa, ja varoja vietiin tokeneista, jotka olivat todennäköisesti hylättyjä.
Miten hyökkäys toimi
Hyökkääjä kohdistui pooleihin, jotka oli luotu vuoden 2021 härkämarkkinoiden aikana, ja monet niistä olivat olleet koskemattomina vuosia. Ketjun sisäisten tietojen mukaan hyökkääjä käytti menetelmää, joka mahdollisti lukitun likviditeetin nostamisen näistä pooleista. DxSale vahvisti tietomurron sosiaalisen median kanavillaan ja neuvoi käyttäjiä, että hyväksikäytetyt poolit olivat kaikki vuodelta 2021 eikä niillä ollut aktiivista kaupankäyntivolyymiä.
Alusta kehotti tokenien haltijoita ja projektitiimejä peruuttamaan hyväksynnät kaikille näihin pooleihin liittyville sopimuksille. Hyökkääjä onnistui muuttamaan varastetut tokenit BNB:ksi ja muiksi varoiksi, ja siirsi sitten varoja useiden lompakoiden kautta hämärtääkseen jäljet.
Vaikutus käyttäjiin ja projekteihin
Niille projekteille, jotka loivat nämä poolit kolme vuotta sitten, menetys on täydellinen – lukittu likviditeetti, jonka piti tukea niiden tokeneita, on poissa. Monet näistä projekteista olivat todennäköisesti lakkautettuja tai hylättyjä, mutta jotkut saattoivat olla edelleen aktiivisia. DxSale sanoi tekevänsä yhteistyötä tietoturvayritysten ja lohkoketjuanalyytikoiden kanssa varojen jäljittämiseksi, mutta takaisinsaanti vaikuttaa epätodennäköiseltä kuluneen ajan ja hyökkääjän anonymiteetin vuoksi.
Alusta itse ei ole maksukyvytön, mutta tietomurto herättää kysymyksiä vanhentuneiden likviditeettipoolien turvallisuudesta hajautetuissa pörsseissä. DxSale on keskeyttänyt uusien poolien luomisen BNBChainissa tehdessään täydellisen auditoinnin älysopimuksilleen.
Laajemmat vaikutukset DeFiin
Tämä tapaus korostaa pysyvää haavoittuvuutta DeFissä: hylätyt tai valvomattomat likviditeettipoolit voivat muuttua aikapommeiksi. Monet vuoden 2021 frenzyn aikana lanseeratut tokenit lukitsivat likviditeettinsä tietyksi ajaksi, mutta kun aika umpeutui, kukaan ei poistanut sitä tai päivittänyt sopimusta. Hyökkääjä, jolla on tietoa vanhasta sopimuskoodista, voi joskus löytää keinon vetää varat pois.
DxSale ei ole ensimmäinen alusta, joka kärsii tällaisesta hyökkäyksestä, eikä se todennäköisesti ole viimeinen. Vuoden 2021 BNBChain-pooleihin lukittu kokonaisarvo on tuntematon, mutta otettu 7,3 miljoonaa dollaria edustaa vain murto-osaa siitä, mikä saattaa vielä olla haavoittuvaista.
Mitä DxSale tekee seuraavaksi
Tiimi on ottanut käyttöön hätätoimenpiteitä, mukaan lukien väliaikainen jäädytys uusien poolien luomiselle ja jokaisen aktiivisen sopimuksen tarkistus. He ovat myös pyytäneet käyttäjiä ilmoittamaan epäilyttävästä toiminnasta. Täydellisen jälkiselvityksen odotetaan valmistuvan ensi viikon aikana, ja se sisältää luettelon vaikutetuista pooliosoitteista ja suunnitelman vastaavien hyväksikäyttöjen estämiseksi.
Toistaiseksi varastetut varat ovat jäljittämättä, ja hyökkääjän henkilöllisyys on tuntematon. DxSale seuraava askel on vahvistaa sen sopimusten vahvistusprosessia ja mahdollisesti ottaa käyttöön aikarajoitus tai monivarmennusvaatimus vanhemmille pooleille.
