יותר מ-1,400 בריכות נזילות של DxSale רוקנו בניצול של 7.3 מיליון דולר ב-BNB Chain

יותר מ-1,400 בריכות נזילות הקשורות לחוזי DxSale ישנים ב-BNB Chain רוקנו בניצול של 7.3 מיליון דולר, שדווח לראשונה ב-29 במאי על ידי משתמש בשם 'Tahax'. התוקף משך כספים מחוזה הנעילה של DxSale — חוזה שהחזיק באסימוני LP מפרויקטים שהושקו לפני שנים — והעביר אותם דרך AnySwap כדי לטשטש את העקבות. הניצול מצטרף לחודש קשה בתחום אבטחת הקריפטו, עם הפסדים מצטברים על פני גשרים ופרוטוקולי הלוואות.

כיצד פעל הניצול

התוקף השתמש בארנק 0xC457...FA69, כתובת חדשה שמומנה מ-Bybit ואולי הועברה דרך AnySwap, כדי להשתלט על חוזה הנעילה של DxSale. חוזה זה לא היה מאומת וככל הנראה הכיל דלת אחורית, שהתוקף ניצל כדי לרוקן את אסימוני LP תוך שעות. משם הועברו 2,958 BNB (1.87 מיליון דולר) לשני ארנקים עיקריים, ולאחר מכן הועברו דרך כתובות הפקדה ב-Binance.

שינוי בעלות שקט

לפני כמעט תשעה חודשים, מפרסם DxSale העביר את הבעלות על חוזה הנעילה לארנק חדש — ללא הודעה פומבית או הודעת מעבר. החוזים הישנים ישבו ללא נגיעה במשך שנים, מה שהפך אותם למטרה קלה. DxSale, פלטפורמת השקה, לא פרסמה כל הצהרה על הניצול מאז שהתגלה.

חלק ממאי אכזרי

זה אינו אירוע מבודד. מגזר הקריפטו הפסיד לפחות 650 מיליון דולר באפריל מהאקרים דומים. מאי בלבד ראה ניצול של גשר Verus ב-11 מיליון דולר, מתקפה של 5.9 מיליון דולר על TrustedVolumes, ותקרית אפשרית של 10 מיליון דולר ב-THORChain. מייסד שותף של OpenZeppelin, מנואל אראוס, הכריז כי 'כל ה-DeFi אינו בטוח', בטענה שתוקפים בעזרת בינה מלאכותית מוצאים פגיעויות מהר יותר ממה שצוותי האבטחה יכולים לתקן אותן. חוזה הנעילה של DxSale — ישן, לא מאומת, והועבר בשקט — מתאים לדפוס העגום הזה.

DxSale טרם הגיבה לבקשות תגובה. חוזה הנעילה נותר ללא תיקון, והעקבות של התוקף דרך AnySwap משמעויות שהכספים ככל הנראה אבדו לנצח.