Egy DxSale nevű decentralizált pénzügyi platformról 7,3 millió dollárt szivattyúztak ki, miután egy támadó kihasználta a 2021 óta inaktív likviditási poolokat. Az incidens körülbelül 1400 BNBChain poolt érintett, és olyan tokenekből vittek el pénzt, amelyeket feltehetően az alkotóik elhagytak.
Hogyan működött az exploit
A támadó a 2021-es bikapiac idején létrehozott poolokat vette célba, amelyek közül sokat évek óta nem érintettek. A láncon belüli adatok szerint a kihasználó olyan módszert alkalmazott, amely lehetővé tette számára a zárolt likviditás kivonását ezekből a poolokból. A DxSale a közösségi média csatornáin megerősítette a betörést, és közölte, hogy az érintett poolok mind 2021-esek, és nem volt rajtuk aktív kereskedési volumen.
A platform felszólította a token tulajdonosokat és projektcsapatokat, hogy vonják vissza a jóváhagyásokat az ezekhez a poolokhoz kapcsolódó szerződésekre. A támadónak sikerült az ellopott tokeneket BNB-vé és más eszközökké alakítania, majd több tárcán keresztül továbbította a pénzt, hogy elrejtse a nyomokat.
Hatás a felhasználókra és projektekre
A három évvel ezelőtt ezeket a poolokat létrehozó projektek számára a veszteség teljes – a tokenjeiket fedező zárolt likviditás eltűnt. Sok ilyen projekt valószínűleg megszűnt vagy elhagyott, de néhány talán még aktív maradt. A DxSale közölte, hogy biztonsági cégekkel és blokklánc-elemzőkkel dolgozik a pénz nyomon követésén, de a visszaszerzése az eltelt idő és a támadó névtelensége miatt valószínűtlennek tűnik.
Maga a platform nem fizetésképtelen, de a betörés kérdéseket vet fel a decentralizált tőzsdéken lévő elavult likviditási poolok biztonságával kapcsolatban. A DxSale felfüggesztette az új poolok létrehozását a BNBChain-en, amíg elvégzi az okosszerződéseinek teljes auditját.
Tágabb következmények a DeFi számára
Ez az incidens rávilágít a DeFi egyik tartós sebezhetőségére: az elhagyott vagy felügyelet nélküli likviditási poolok időzített bombákká válhatnak. Sok 2021-es lázadás során indított token likviditása meghatározott időre volt zárolva, de amikor ez az időszak lejárt, senki nem távolította el vagy frissítette a szerződést. Egy támadó, aki ismeri a régi szerződéskódot, néha megtalálhatja a módját, hogy kivegye a pénzt.
A DxSale nem az első platform, amely ilyen támadást szenvedett el, és valószínűleg nem is az utolsó. A 2021-es BNBChain poolokban zárolt teljes érték ismeretlen, de az ellopott 7,3 millió dollár csak egy töredéke annak, ami még sebezhető lehet.
Mit tesz ezután a DxSale
A csapat vészhelyzeti intézkedéseket vezetett be, beleértve az összes pool létrehozásának ideiglenes felfüggesztését és minden aktív szerződés felülvizsgálatát. Arra is kérték a felhasználókat, hogy jelentsenek minden gyanús tevékenységet. A következő héten várható egy teljes utólagos elemzés, amely tartalmazza az érintett poolcímek listáját és egy tervet a hasonló exploitok megelőzésére.
Egyelőre az ellopott pénz nyomon követhetetlen, a támadó kiléte ismeretlen. A DxSale következő lépése a szerződés-ellenőrzési folyamat megerősítése és esetleg időzár vagy több aláírás követelményének bevezetése a régebbi poolok számára.
