Plus de 1 400 pools de liquidité liés aux anciens contrats DxSale sur la BNB Chain ont été vidés lors d'une attaque de 7,3 millions de dollars signalée pour la première fois le 29 mai par un utilisateur nommé « Tahax ». L'attaquant a prélevé des fonds depuis le coffre de DxSale — un contrat qui contenait des jetons LP de projets lancés il y a plusieurs années — et les a transférés via AnySwap pour brouiller la piste. Cette attaque s'ajoute à un mois particulièrement difficile pour la sécurité crypto, avec des pertes s'accumulant sur les ponts et les protocoles de prêt.
Comment l'attaque a fonctionné
L'attaquant a utilisé le portefeuille 0xC457...FA69, une nouvelle adresse financée par Bybit et potentiellement acheminée via AnySwap, pour prendre possession du contrat de coffre de DxSale. Ce contrat n'était pas vérifié et contenait probablement une porte dérobée, exploitée par l'attaquant pour vider les jetons LP en quelques heures. Par la suite, 2 958 BNB (1,87 million de dollars) ont été transférés vers deux portefeuilles principaux, puis déplacés via des adresses de dépôt sur Binance.
Un changement de propriété discret
Il y a près de neuf mois, le déploieur de DxSale a transféré la propriété du coffre vers un nouveau portefeuille — sans annonce publique ni notification de migration. Les anciens contrats étaient restés intacts pendant des années, ce qui en faisait une cible de choix. DxSale, une plateforme de lancement, n'a émis aucune déclaration concernant l'attaque depuis sa découverte.
Un mois de mai particulièrement difficile
Ce n'est pas un incident isolé. Le secteur crypto a perdu au moins 650 millions de dollars en avril à cause de piratages similaires. Le mois de mai seul a vu une attaque de 11 millions de dollars sur le pont Verus, une attaque de 5,9 millions de dollars sur TrustedVolumes et un incident potentiel de 10 millions de dollars sur THORChain. Manuel Aráoz, cofondateur d'OpenZeppelin, a déclaré que « l'ensemble de la DeFi est vulnérable », arguant que les attaquants assistés par l'IA trouvent des vulnérabilités plus rapidement que les équipes de sécurité ne peuvent les corriger. Le coffre de DxSale — ancien, non vérifié et transféré en silence — s'inscrit dans ce schéma sombre.
DxSale n'a pas encore répondu aux demandes de commentaires. Le contrat du coffre reste non corrigé, et la piste de l'attaquant via AnySwap signifie que les fonds sont probablement définitivement perdus.
