BNB चेन पर DxSale के लीगेसी लिक्विडिटी लॉकर को निशाना बनाते हुए एक शोषण ने लगभग 1,400 लिक्विडिटी पूलों से $7.3 मिलियन निकाल लिए। विश्लेषकों का कहना है कि कॉन्ट्रैक्ट में बैकडोर कमजोरियों ने इस हमले को संभव बनाया।
बैकडोर कमजोरी
समझौता किया गया सिस्टम DxSale के लिक्विडिटी लॉकर का एक पुराना संस्करण था, एक उपकरण जो तरलता प्रदाता टोकन को लॉक करता है ताकि डेवलपर्स फंड निकालने से रोका जा सके। जांचकर्ताओं ने उल्लंघन का पता उन चीजों से लगाया जिन्हें उन्होंने बैकडोर कमजोरियों के रूप में वर्णित किया - छिपे हुए पहुंच बिंदु जिन्होंने हमलावर को सामान्य सुरक्षा जांचों को दरकिनार करने और संपत्ति निकालने की अनुमति दी।
इस घटना पर नजर रखने वाली ब्लॉकचेन सुरक्षा फर्मों ने कहा कि शोषण ने एक साथ कई पूलों को निशाना बनाया। हमलावर ने तेजी से काम किया, कॉन्ट्रैक्ट को रोके जाने या पैच किए जाने से पहले प्रत्येक पूल से टोकन निकाल लिए।
लिक्विडिटी पूलों पर प्रभाव
प्रभावित 1,400 पूल टोकन परियोजनाओं की एक विस्तृत श्रृंखला का प्रतिनिधित्व करते हैं जो अपनी तरलता को सुरक्षित करने के लिए DxSale के लॉकर पर निर्भर थे। उन परियोजनाओं में से कई के लिए, नुकसान पूर्ण है - चुराए गए फंड वह बंद तरलता थे जो विकेंद्रीकृत एक्सचेंजों पर व्यापार को रेखांकित करते हैं।
उन पूलों के उपयोगकर्ता अब बेकार स्थितियों के साथ रह गए हैं। कुछ परियोजनाओं ने पहले ही बयान जारी कर अपने समुदायों को चेतावनी दी है कि लॉक किए गए टोकन चले गए हैं और उबरने की संभावना नहीं है।
DxSale ने शोषण के बाद से कोई सार्वजनिक अपडेट जारी नहीं किया है। कंपनी की टीम संभवतः एक घटना रिपोर्ट और कमजोरी के लिए एक समाधान पर काम कर रही है। लेकिन अभी के लिए, मुआवजे या सुधार की कोई समयसीमा नहीं है।
यह शोषण एक अनुस्मारक है कि DeFi पारिस्थितिकी तंत्र के विकसित होने पर पुराने स्मार्ट कॉन्ट्रैक्ट टिक-टिक करती टाइम बम बन सकते हैं। ऑडिटर और डेवलपर्स लीगेसी लॉकर का उपयोग करने वाली परियोजनाओं से अद्यतन संस्करणों में स्थानांतरित होने का आग्रह कर रहे हैं - इससे पहले कि अगला हमलावर दरवाजा ढूंढे।
