बीएनबी चेन पर पुराने DxSale कॉन्ट्रैक्ट से जुड़े 1,400 से अधिक लिक्विडिटी पूल 73 लाख डॉलर के एक शोषण में खाली हो गए, जिसे सबसे पहले 29 मई को 'Tahax' नामक उपयोगकर्ता ने चिन्हित किया था। हमलावर ने DxSale के लॉकर — एक कॉन्ट्रैक्ट जिसमें सालों पहले लॉन्च किए गए प्रोजेक्ट्स के LP टोकन थे — से फंड निकालकर AnySwap के ज़रिए सुराग छिपाने का प्रयास किया। इस शोषण ने क्रिप्टो सुरक्षा के लिए एक भीषण महीने को और बढ़ा दिया है, जहाँ ब्रिज और लेंडिंग प्रोटोकॉल पर नुकसान बढ़ रहा है।
शोषण कैसे काम करता था
हमलावर ने वॉलेट 0xC457...FA69 का उपयोग किया, जो Bybit से फंडेड और संभवतः AnySwap के ज़रिए रूट किया गया एक नया पता है, ताकि DxSale के लॉकर कॉन्ट्रैक्ट का स्वामित्व ले सके। वह कॉन्ट्रैक्ट अनवेरिफाइड था और संभवतः इसमें एक बैकडोर था, जिसका हमलावर ने घंटों के भीतर LP टोकन खाली करने के लिए शोषण किया। वहाँ से, 2,958 बीएनबी (18.7 लाख डॉलर) दो मुख्य वॉलेट में स्थानांतरित किया गया, फिर Binance पर जमा पतों के माध्यम से ले जाया गया।
एक शांत स्वामित्व परिवर्तन
लगभग नौ महीने पहले, DxSale डिप्लॉयर ने लॉकर का स्वामित्व एक नए वॉलेट को हस्तांतरित कर दिया — बिना किसी सार्वजनिक घोषणा या माइग्रेशन नोटिस के। पुराने कॉन्ट्रैक्ट वर्षों से अछूते पड़े थे, जिससे वे एक आसान लक्ष्य बन गए। DxSale, एक लॉन्चपैड प्लेटफॉर्म, ने इस शोषण के बारे में तब से कोई बयान नहीं दिया है जब से इसकी खोज हुई थी।
एक भीषण मई का हिस्सा
यह कोई अलग-थलग घटना नहीं है। क्रिप्टो सेक्टर ने अप्रैल में समान हैक्स से कम से कम 65 करोड़ डॉलर खो दिए थे। अकेले मई में Verus ब्रिज पर 1.1 करोड़ डॉलर का शोषण, TrustedVolumes पर 59 लाख डॉलर का हमला, और THORChain पर संभावित 1 करोड़ डॉलर की घटना शामिल है। OpenZeppelin के सह-संस्थापक Manuel Aráoz ने 'सभी DeFi असुरक्षित' घोषित किया और तर्क दिया कि AI-सहायता प्राप्त हमलावर सुरक्षा टीमों द्वारा पैच करने की तुलना में तेजी से कमजोरियाँ खोज रहे हैं। DxSale का लॉकर — पुराना, अनवेरिफाइड, और चुपचाप हस्तांतरित — उस चिंताजनक पैटर्न में फिट बैठता है।
DxSale ने अभी तक टिप्पणी के अनुरोधों का जवाब नहीं दिया है। लॉकर कॉन्ट्रैक्ट अभी भी पैच नहीं किया गया है, और AnySwap के माध्यम से हमलावर के निशान का मतलब है कि फंड संभवतः हमेशा के लिए चला गया है।
