Lebih dari 1.400 kolam likuiditas yang terkait dengan kontrak DxSale lama di BNB Chain dikuras dalam sebuah eksploitasi senilai $7,3 juta yang pertama kali dilaporkan pada 29 Mei oleh pengguna bernama 'Tahax'. Penyerang menarik dana dari locker DxSale — sebuah kontrak yang menyimpan token LP dari proyek yang diluncurkan bertahun-tahun lalu — dan memindahkannya melalui AnySwap untuk mengaburkan jejak. Eksploitasi ini menambah daftar panjang bulan yang brutal bagi keamanan kripto, dengan kerugian yang terus menumpuk di berbagai jembatan dan protokol pinjaman.
Bagaimana eksploitasi terjadi
Penyerang menggunakan dompet 0xC457...FA69, sebuah alamat baru yang didanai dari Bybit dan kemungkinan dirutekan melalui AnySwap, untuk mengambil alih kepemilikan kontrak locker DxSale. Kontrak tersebut tidak terverifikasi dan kemungkinan mengandung pintu belakang, yang dieksploitasi penyerang untuk menguras token LP dalam hitungan jam. Dari sana, 2.958 BNB ($1,87 juta) ditransfer ke dua dompet utama, lalu dipindahkan melalui alamat penyetoran di Binance.
Perubahan kepemilikan yang senyap
Hampir sembilan bulan lalu, deployer DxSale mentransfer kepemilikan locker ke dompet baru — tanpa pengumuman publik atau pemberitahuan migrasi. Kontrak lama itu tidak tersentuh selama bertahun-tahun, menjadikannya target yang empuk. DxSale, sebuah platform peluncuran, belum membuat pernyataan apa pun tentang eksploitasi ini sejak ditemukan.
Bagian dari bulan Mei yang brutal
Ini bukan insiden terisolasi. Sektor kripto kehilangan setidaknya $650 juta pada bulan April dari peretasan serupa. Bulan Mei saja menyaksikan eksploitasi jembatan Verus senilai $11 juta, serangan $5,9 juta pada TrustedVolumes, dan kemungkinan insiden THORChain senilai $10 juta. Salah satu pendiri OpenZeppelin, Manuel Aráoz, menyatakan 'semua DeFi tidak aman', dengan alasan bahwa penyerang yang dibantu AI menemukan kerentanan lebih cepat daripada yang bisa ditambal oleh tim keamanan. Locker DxSale — lama, tidak terverifikasi, dan dipindahkan secara diam-diam — cocok dengan pola suram itu.
DxSale belum menanggapi permintaan komentar. Kontrak locker masih belum diperbaiki, dan jejak penyerang melalui AnySwap berarti dana kemungkinan besar hilang selamanya.
