Une plateforme de finance décentralisée, DxSale, a été vidée de 7,3 millions de dollars après qu'un attaquant a exploité des pools de liquidité inactifs depuis 2021. L'incident a touché environ 1 400 pools sur la BNBChain, les fonds ayant été siphonnés de jetons probablement abandonnés par leurs créateurs.
Comment l'attaque a fonctionné
L'attaquant a ciblé des pools créés lors du bull run de 2021, dont beaucoup étaient restés intacts pendant des années. Selon les données on-chain, l'exploiteur a utilisé une méthode lui permettant de retirer la liquidité verrouillée de ces pools. DxSale a confirmé la brèche sur ses réseaux sociaux, conseillant aux utilisateurs que les pools exploités dataient tous de 2021 et n'avaient aucun volume de trading actif.
La plateforme a exhorté les détenteurs de jetons et les équipes de projet à révoquer les approbations pour tout contrat lié à ces pools. L'attaquant a réussi à convertir les jetons volés en BNB et autres actifs, puis a déplacé les fonds via plusieurs portefeuilles pour brouiller les pistes.
Impact sur les utilisateurs et les projets
Pour les projets qui ont créé ces pools il y a trois ans, la perte est totale — la liquidité verrouillée qui devait soutenir leurs jetons a disparu. Beaucoup de ces projets étaient probablement disparus ou abandonnés, mais quelques-uns ont peut-être continué d'être actifs. DxSale a déclaré travailler avec des sociétés de sécurité et des analystes blockchain pour suivre les fonds, mais une récupération semble peu probable compte tenu du temps écoulé et de l'anonymat de l'attaquant.
La plateforme elle-même n'est pas insolvable, mais la brèche soulève des questions sur la sécurité des pools de liquidité obsolètes sur les échanges décentralisés. DxSale a suspendu la création de nouveaux pools sur BNBChain pendant qu'elle effectue un audit complet de ses smart contracts.
Implications plus larges pour la DeFi
Cet incident met en lumière une vulnérabilité persistante dans la DeFi : les pools de liquidité abandonnés ou non surveillés peuvent devenir des bombes à retardement. De nombreux jetons lancés lors de la frénésie de 2021 avaient leur liquidité verrouillée pour une période déterminée, mais une fois cette période expirée, personne ne l'a retirée ni mis à jour le contrat. Un attaquant connaissant l'ancien code du contrat peut parfois trouver un moyen de retirer les fonds.
DxSale n'est pas la première plateforme à subir ce type d'attaque, et ce ne sera probablement pas la dernière. La valeur totale verrouillée dans les pools BNBChain de 2021 est inconnue, mais les 7,3 millions de dollars pris ne représentent qu'une fraction de ce qui pourrait encore être vulnérable.
Les prochaines mesures de DxSale
L'équipe a mis en œuvre des mesures d'urgence, notamment un gel temporaire de toute création de pool et un examen de chaque contrat actif. Ils ont également demandé aux utilisateurs de signaler toute activité suspecte. Un post-mortem complet est attendu dans la semaine à venir, qui inclura une liste des adresses de pools affectés et un plan pour prévenir des attaques similaires.
Pour l'instant, les fonds volés restent introuvables et l'identité de l'attaquant inconnue. La prochaine initiative de DxSale sera de renforcer son processus de vérification des contrats et éventuellement d'introduire une exigence de time-lock ou de multisig pour les pools plus anciens.
