5月29日に「Tahax」というユーザーが最初に報告した730万ドルのエクスプロイトにより、BNBチェーン上の古いDxSaleコントラクトに関連する1,400以上の流動性プールが流出した。攻撃者はDxSaleのロッカー(数年前に立ち上げられたプロジェクトのLPトークンを保持していたコントラクト)から資金を引き出し、追跡を困難にするためにAnySwapを通じて移動させた。このエクスプロイトは、ブリッジやレンディングプロトコル全体で損失が積み重なっている、仮想通貨セキュリティにとって厳しい月に加わるものだ。
エクスプロイトの仕組み
攻撃者は、Bybitから資金提供され、AnySwapを経由した可能性のある新しいアドレス0xC457...FA69を使用して、DxSaleのロッカーコントラクトの所有権を取得した。そのコントラクトは未検証であり、バックドアが含まれていた可能性が高く、攻撃者はそれを悪用して数時間以内にLPトークンを流出させた。そこから2,958 BNB(187万ドル)が2つの主要ウォレットに転送され、その後Binanceの入金アドレスを通じて移動された。
静かな所有権移管
約9ヶ月前、DxSaleのデプロイヤーがロッカーの所有権を新しいウォレットに移管したが、公開発表や移行通知は一切なかった。古いコントラクトは何年も放置されており、格好の標的となっていた。ローンチパッドプラットフォームであるDxSaleは、このエクスプロイトが発見されて以来、何の声明も出していない。
厳しい5月の一部
これは孤立した事件ではない。仮想通貨セクターは4月に同様のハッキングで少なくとも6億5000万ドルを失っている。5月だけでも、Verusブリッジで1100万ドルのエクスプロイト、TrustedVolumesで590万ドルの攻撃、そしてTHORChainで可能性として1000万ドルのインシデントが発生した。OpenZeppelinの共同創業者Manuel Aráoz氏は「すべてのDeFiは安全ではない」と宣言し、AI支援の攻撃者がセキュリティチームがパッチを適用するよりも速く脆弱性を見つけていると主張した。DxSaleのロッカー — 古く、未検証で、静かに移管された — はその厳しいパターンに当てはまる。
DxSaleはコメント要請にまだ応じていない。ロッカーコントラクトは未修正のままであり、AnySwapを通じた攻撃者の痕跡は、資金がおそらく永久に失われたことを意味している。
