פלטפורמת מימון מבוזר, DxSale, ספגה גניבה של 7.3 מיליון דולר לאחר שתוקף ניצל מאגרי נזילות שלא היו פעילים מאז 2021. האירוע פגע בכ-1,400 מאגרים ב-BNBChain, כשהכספים נשאבו מאסימונים שננטשו ככל הנראה על ידי יוצריהם.
כיצד פעל הניצול
התוקף כיוון למאגרים שנוצרו במהלך ראלי השוורים של 2021, שרבים מהם נותרו ללא נגיעה במשך שנים. לפי נתוני השרשרת, המנצל השתמש בשיטה שאפשרה לו למשוך את הנזילות הנעולה ממאגרים אלה. DxSale אישרה את הפריצה בערוצי המדיה החברתית שלה, והמליצה למשתמשים שכל המאגרים המנוצלים היו מ-2021 ולא היה בהם נפח מסחר פעיל.
הפלטפורמה הפצירה במחזיקי אסימונים ובצוותי פרויקטים לבטל אישורים לחוזים הקשורים למאגרים אלה. התוקף הצליח להמיר את האסימונים הגנובים ל-BNB ולנכסים אחרים, ואז העביר את הכספים דרך ארנקים מרובים כדי לטשטש את העקבות.
השפעה על משתמשים ופרויקטים
עבור הפרויקטים שיצרו את המאגרים האלה לפני שלוש שנים, ההפסד מוחלט — הנזילות הנעולה שנועדה לגבות את האסימונים שלהם אבדה. רבים מאותם פרויקטים כנראה חדלו לפעול או ננטשו, אך ייתכן שכמה מהם נותרו פעילים. DxSale מסרה כי היא עובדת עם חברות אבטחה ומנתחי בלוקצ'יין כדי לעקוב אחר הכספים, אך ההתאוששות נראית לא סבירה לאור הזמן שחלף והאנונימיות של התוקף.
הפלטפורמה עצמה אינה חדלת פירעון, אך הפריצה מעלה שאלות לגבי אבטחת מאגרי נזילות מיושנים בבורסות מבוזרות. DxSale השהתה יצירת מאגרים חדשים ב-BNBChain בזמן שהיא עורכת ביקורת מלאה על החוזים החכמים שלה.
השלכות רחבות יותר עבור DeFi
אירוע זה מדגיש פגיעות מתמשכת ב-DeFi: מאגרי נזילות נטושים או לא מנוטרים עלולים להפוך לפצצות מתקתקות. אסימונים רבים שהושקו במהלך ההתרגשות של 2021 נעלו את הנזילות שלהם לתקופה מוגדרת, אך כשתקופה זו פגה, איש לא הסיר אותה או עדכן את החוזה. תוקף בעל ידע בקוד החוזה הישן יכול לפעמים למצוא דרך למשוך את הכספים.
DxSale אינה הפלטפורמה הראשונה שסובלת מהתקפה מסוג זה, וכנראה לא תהיה האחרונה. הערך הכולל הנעול במאגרי BNBChain משנת 2021 אינו ידוע, אך 7.3 מיליון הדולר שנגנבו מייצגים רק חלק ממה שעשוי עדיין להיות פגיע.
מה DxSale מתכננת לעשות הלאה
הצוות יישם צעדי חירום, כולל הקפאה זמנית של כל יצירת מאגרים ובדיקה של כל חוזה פעיל. הם גם ביקשו ממשתמשים לדווח על כל פעילות חשודה. דוח מפורט צפוי בתוך השבוע הקרוב, שיכלול רשימה של כתובות המאגרים שהושפעו ותוכנית למניעת ניצולים דומים.
לעת עתה, הכספים הגנובים נותרים ללא מעקב, וזהות התוקף אינה ידועה. הצעד הבא של DxSale יהיה לחזק את תהליך אימות החוזים שלה ואולי להכניס דרישת time-lock או multisig עבור מאגרים ישנים יותר.
