BNB 체인의 오래된 DxSale 계약과 연결된 1,400개 이상의 유동성 풀이 730만 달러 규모의 해킹으로 고갈되었습니다. 이 사건은 5월 29일 'Tahax'라는 사용자가 처음 발견했습니다. 공격자는 DxSale의 잠금 계약(수년 전에 출시된 프로젝트의 LP 토큰을 보유한 계약)에서 자금을 빼내고 AnySwap을 통해 이동시키며 추적을 어렵게 했습니다. 이번 해킹은 암호화폐 보안에 있어 잔혹한 한 달을 더하며, 브릿지와 대출 프로토콜 전반에서 손실이 누적되고 있습니다.
해킹 작동 방식
공격자는 Bybit에서 자금을 조달하고 AnySwap을 통해 우회했을 가능성이 있는 새 주소(0xC457...FA69)를 사용해 DxSale의 잠금 계약 소유권을 획득했습니다. 이 계약은 검증되지 않았으며 백도어가 포함되어 있었을 가능성이 높고, 공격자는 이를 이용해 몇 시간 만에 LP 토큰을 빼냈습니다. 이후 2,958 BNB(187만 달러)가 두 개의 주요 지갑으로 전송된 후 바이낸스 입금 주소로 이동했습니다.
조용한 소유권 변경
약 9개월 전, DxSale 배포자는 잠금 계약의 소유권을 새 지갑으로 이전했지만, 공개 발표나 마이그레이션 공지는 없었습니다. 오래된 계약은 수년간 방치되어 완벽한 공격 대상이 되었습니다. 런치패드 플랫폼인 DxSale은 이 해킹이 발견된 이후 아직 어떤 입장도 밝히지 않았습니다.
잔혹한 5월의 일부
이는 고립된 사건이 아닙니다. 암호화폐 업계는 4월에만 유사한 해킹으로 최소 6억 5천만 달러의 손실을 입었습니다. 5월에는 Verus 브릿지 해킹(1,100만 달러), TrustedVolumes 공격(590만 달러), 그리고 THORChain 관련 사고(최대 1,000만 달러)가 있었습니다. OpenZeppelin의 공동 창립자 Manuel Aráoz는 '모든 디파이가 안전하지 않다'고 선언하며, AI 기반 공격자들이 보안팀이 패치를 적용하는 속도보다 빠르게 취약점을 찾고 있다고 주장했습니다. 오래되고 검증되지 않았으며 조용히 이전된 DxSale 잠금 계약은 그 암울한 패턴에 부합합니다.
DxSale은 논평 요청에 아직 응답하지 않았습니다. 잠금 계약은 여전히 패치되지 않았으며, AnySwap을 통한 공격자의 추적은 자금이 영원히 사라졌을 가능성이 높음을 의미합니다.
