Sebuah platform keuangan terdesentralisasi, DxSale, telah dikuras sebesar $7,3 juta setelah seorang penyerang mengeksploitasi pool likuiditas yang tidak aktif sejak tahun 2021. Insiden ini mempengaruhi sekitar 1.400 pool di BNBChain, dengan dana yang dikuras dari token yang kemungkinan ditinggalkan oleh pembuatnya.
Bagaimana eksploitasi dilakukan
Penyerang menargetkan pool yang dibuat selama kenaikan pasar tahun 2021, banyak di antaranya tidak tersentuh selama bertahun-tahun. Menurut data on-chain, pengeksploitasi menggunakan metode yang memungkinkan mereka menarik likuiditas yang terkunci dari pool tersebut. DxSale mengkonfirmasi pelanggaran ini di saluran media sosialnya, mengingatkan pengguna bahwa pool yang dieksploitasi semuanya berasal dari tahun 2021 dan tidak memiliki volume perdagangan aktif.
Platform tersebut mendesak pemegang token dan tim proyek untuk mencabut persetujuan untuk kontrak apa pun yang terkait dengan pool tersebut. Penyerang berhasil mengkonversi token yang dicuri menjadi BNB dan aset lainnya, lalu memindahkan dana melalui beberapa dompet untuk mengaburkan jejak.
Dampak pada pengguna dan proyek
Bagi proyek yang membuat pool tersebut tiga tahun lalu, kerugiannya total — likuiditas yang terkunci yang dimaksudkan untuk mendukung token mereka telah hilang. Banyak dari proyek-proyek tersebut kemungkinan sudah mati atau ditinggalkan, tetapi beberapa mungkin masih aktif. DxSale mengatakan pihaknya bekerja sama dengan firma keamanan dan analis blockchain untuk melacak dana, tetapi pemulihan tampaknya tidak mungkin mengingat waktu yang telah berlalu dan anonimitas penyerang.
Platform itu sendiri tidak bangkrut, tetapi pelanggaran ini menimbulkan pertanyaan tentang keamanan pool likuiditas yang sudah lama di bursa terdesentralisasi. DxSale telah menghentikan sementara pembuatan pool baru di BNBChain sambil melakukan audit penuh terhadap kontrak pintarnya.
Implikasi yang lebih luas untuk DeFi
Insiden ini menyoroti kerentanan yang terus-menerus ada di DeFi: pool likuiditas yang ditinggalkan atau tidak diawasi bisa menjadi bom waktu. Banyak token yang diluncurkan selama hiruk-pikuk tahun 2021 memiliki likuiditas yang terkunci untuk periode tertentu, tetapi ketika periode itu berakhir, tidak ada yang menghapusnya atau memperbarui kontrak. Seorang penyerang dengan pengetahuan tentang kode kontrak lama terkadang dapat menemukan cara untuk menarik dana tersebut.
DxSale bukan platform pertama yang menderita serangan semacam ini, dan kemungkinan bukan yang terakhir. Total nilai yang terkunci di pool BNBChain sejak tahun 2021 tidak diketahui, tetapi $7,3 juta yang diambil hanya mewakili sebagian kecil dari apa yang mungkin masih rentan.
Langkah DxSale selanjutnya
Tim telah menerapkan langkah-langkah darurat, termasuk penghentian sementara semua pembuatan pool dan peninjauan setiap kontrak aktif. Mereka juga meminta pengguna untuk melaporkan aktivitas mencurigakan. Laporan pasca-insiden (post-mortem) penuh diharapkan dalam minggu depan, yang akan mencakup daftar alamat pool yang terkena dampak dan rencana untuk mencegah eksploitasi serupa.
Untuk saat ini, dana yang dicuri masih belum terlacak, dan identitas penyerang tidak diketahui. Langkah DxSale selanjutnya adalah memperkuat proses verifikasi kontraknya dan mungkin memperkenalkan persyaratan time-lock atau multisig untuk pool yang lebih lama.
