एक विकेंद्रीकृत वित्त (DeFi) प्लेटफॉर्म, DxSale, से $7.3 मिलियन निकाल लिए गए हैं, जब एक हमलावर ने 2021 से निष्क्रिय तरलता पूलों का शोषण किया। यह घटना BNBChain पर लगभग 1,400 पूलों को प्रभावित करती है, जिसमें उन टोकनों से धनराशि निकाली गई जो संभवतः उनके निर्माताओं द्वारा छोड़ दिए गए थे।
एक्सप्लॉइट कैसे काम करता था
हमलावर ने 2021 के बुल रन के दौरान बनाए गए पूलों को निशाना बनाया, जिनमें से कई वर्षों से अछूते थे। ऑन-चेन डेटा के अनुसार, शोषणकर्ता ने एक ऐसी विधि का उपयोग किया जिससे वह इन पूलों से लॉक की गई तरलता निकाल सके। DxSale ने अपने सोशल मीडिया चैनलों पर उल्लंघन की पुष्टि की, उपयोगकर्ताओं को सलाह दी कि शोषित पूल सभी 2021 के थे और उनमें कोई सक्रिय ट्रेडिंग वॉल्यूम नहीं था।
प्लेटफॉर्म ने टोकन धारकों और प्रोजेक्ट टीमों से उन पूलों से जुड़े किसी भी अनुबंध की स्वीकृति रद्द करने का आग्रह किया। हमलावर चुराए गए टोकनों को BNB और अन्य परिसंपत्तियों में बदलने में सफल रहा, फिर धन को कई वॉलेटों के माध्यम से स्थानांतरित करके पगडंडी को अस्पष्ट कर दिया।
उपयोगकर्ताओं और प्रोजेक्टों पर प्रभाव
तीन साल पहले उन पूलों को बनाने वाले प्रोजेक्टों के लिए, नुकसान पूर्ण है — वह लॉक की गई तरलता जो उनके टोकनों का समर्थन करने के लिए थी, चली गई है। उनमें से कई प्रोजेक्ट संभवतः निष्क्रिय या परित्यक्त थे, लेकिन कुछ शायद सक्रिय रहे हों। DxSale ने कहा कि वह धन को ट्रैक करने के लिए सुरक्षा फर्मों और ब्लॉकचेन विश्लेषकों के साथ काम कर रहा है, लेकिन बीते समय और हमलावर की गुमनामी को देखते हुए वसूली की संभावना कम लगती है।
प्लेटफॉर्म स्वयं दिवालिया नहीं है, लेकिन यह उल्लंघन विकेंद्रीकृत एक्सचेंजों पर बासी तरलता पूलों की सुरक्षा पर सवाल उठाता है। DxSale ने अपने स्मार्ट कॉन्ट्रैक्ट्स का पूर्ण ऑडिट करने तक BNBChain पर नए पूल निर्माण को रोक दिया है।
DeFi के लिए व्यापक निहितार्थ
यह घटना DeFi में एक स्थायी कमजोरी को उजागर करती है: परित्यक्त या अनदेखे तरलता पूल टिक-टिक करते बम बन सकते हैं। 2021 के उन्माद के दौरान लॉन्च किए गए कई टोकनों की तरलता एक निश्चित अवधि के लिए लॉक की गई थी, लेकिन जब वह अवधि समाप्त हो गई, तो किसी ने इसे हटाया या अनुबंध को अपडेट नहीं किया। पुराने अनुबंध कोड का ज्ञान रखने वाला हमलावर कभी-कभी धन निकालने का कोई तरीका ढूंढ सकता है।
DxSale इस तरह के हमले का शिकार होने वाला पहला प्लेटफॉर्म नहीं है, और संभवतः यह आखिरी भी नहीं होगा। 2021 से BNBChain पूलों में लॉक किया गया कुल मूल्य अज्ञात है, लेकिन $7.3 मिलियन की निकासी केवल उस हिस्से का प्रतिनिधित्व करती है जो अभी भी असुरक्षित हो सकता है।
DxSale आगे क्या कर रहा है
टीम ने आपातकालीन उपाय लागू किए हैं, जिसमें सभी पूल निर्माण पर अस्थायी रोक और प्रत्येक सक्रिय अनुबंध की समीक्षा शामिल है। उन्होंने उपयोगकर्ताओं से किसी भी संदिग्ध गतिविधि की रिपोर्ट करने का भी अनुरोध किया है। अगले सप्ताह के भीतर एक पूर्ण पोस्ट-मॉर्टम की उम्मीद है, जिसमें प्रभावित पूल पतों की सूची और इसी तरह के शोषण को रोकने की योजना शामिल होगी।
फिलहाल, चुराए गए फंड अज्ञात हैं, और हमलावर की पहचान अज्ञात है। DxSale का अगला कदम अपनी अनुबंध सत्यापन प्रक्रिया को मजबूत करना और संभवतः पुराने पूलों के लिए टाइम-लॉक या मल्टीसिग आवश्यकता शुरू करना होगा।
