分散型金融(DeFi)プラットフォームDxSaleは、2021年から非アクティブだった流動性プールを攻撃者に悪用され、730万ドルが流出した。このインシデントはBNBChain上の約1,400のプールに影響を与え、作成者によって放棄されたとみられるトークンから資金が引き出された。
エクスプロイトの仕組み
攻撃者は2021年のブルラン中に作成されたプールを標的にし、その多くは何年も放置されていた。オンチェーンデータによると、エクスプロイターはこれらのプールからロックされた流動性を引き出せる方法を使用した。DxSaleはソーシャルメディアでこの侵害を確認し、悪用されたプールはすべて2021年のもので、アクティブな取引量がなかったとユーザーに伝えた。プラットフォームはトークン保有者とプロジェクトチームに対し、それらのプールに関連するコントラクトの承認を取り消すよう求めた。攻撃者は盗んだトークンをBNBや他の資産に変換し、その後、資金を複数のウォレットに移動させて追跡を困難にした。
ユーザーとプロジェクトへの影響
3年前にそれらのプールを作成したプロジェクトにとって、損失は全額である。トークンを裏付けるためにロックされていた流動性は消失した。それらのプロジェクトの多くはおそらく活動を停止または放棄されていたが、一部はまだ活動していた可能性もある。DxSaleはセキュリティ企業やブロックチェーンアナリストと協力して資金を追跡しているが、経過時間と攻撃者の匿名性を考慮すると、回収は困難と思われる。プラットフォーム自体は支払不能ではないが、この侵害は分散型取引所における古い流動性プールのセキュリティに疑問を投げかけている。DxSaleはスマートコントラクトの完全な監査を実施する間、BNBChainでの新規プール作成を一時停止している。
DeFiへの広範な影響
このインシデントは、DeFiにおける永続的な脆弱性を浮き彫りにしている。放棄された、または監視されていない流動性プールは時限爆弾となり得る。2021年の熱狂の中でローンチされた多くのトークンは、流動性が一定期間ロックされていたが、その期間が満了しても、誰もそれを解除したり、コントラクトを更新したりしなかった。古いコントラクトコードを知っている攻撃者は、資金を引き出す方法を見つけることができる場合がある。DxSaleはこの種の攻撃を受けた最初のプラットフォームではなく、おそらく最後でもないだろう。2021年からのBNBChainプールにロックされた総価値は不明だが、流出した730万ドルは、依然として脆弱な可能性があるもののほんの一部に過ぎない。
DxSaleの今後の対応
チームは緊急措置として、全プール作成の一時停止とすべてのアクティブなコントラクトの審査を実施している。また、ユーザーに不審な活動の報告を求めている。来週中に完全な事後報告書が発表される予定で、影響を受けたプールアドレスのリストや同様のエクスプロイトを防ぐための計画が含まれる。現時点では、盗まれた資金は追跡されておらず、攻撃者の身元も不明である。DxSaleの次の一手は、コントラクト検証プロセスの強化と、古いプールへのタイムロックやマルチシグ要件の導入である可能性がある。
