Lebih daripada 1,400 kolam kecairan yang terikat dengan kontrak lama DxSale di Rantaian BNB telah dikeringkan dalam satu eksploitasi bernilai $7.3 juta yang pertama kali dilaporkan pada 29 Mei oleh seorang pengguna bernama 'Tahax'. Penyerang menarik dana dari loker DxSale — sebuah kontrak yang memegang token LP daripada projek yang dilancarkan tahun lalu — dan memindahkannya melalui AnySwap untuk mengaburi jejak. Eksploitasi ini menambah satu bulan yang sukar bagi keselamatan kripto, dengan kerugian yang bertimbun merentasi jambatan dan protokol pinjaman.
Bagaimana eksploitasi berfungsi
Penyerang menggunakan dompet 0xC457...FA69, alamat baharu yang dibiayai daripada Bybit dan mungkin melalui AnySwap, untuk mengambil alih pemilikan kontrak loker DxSale. Kontrak itu tidak disahkan dan mungkin mengandungi pintu belakang, yang dieksploitasi oleh penyerang untuk mengeringkan token LP dalam beberapa jam. Dari situ, 2,958 BNB ($1.87 juta) dipindahkan ke dua dompet utama, kemudian digerakkan melalui alamat deposit di Binance.
Perubahan pemilikan secara senyap
Hampir sembilan bulan lalu, pengguna yang menggunakan penggerak DxSale memindahkan pemilikan loker ke dompet baharu — tanpa sebarang pengumuman awam atau notis pemindahan. Kontrak-kontrak lama itu tidak disentuh selama bertahun-tahun, menjadikannya sasaran yang mudah. DxSale, platform pelancaran, belum membuat sebarang kenyataan mengenai eksploitasi ini sejak ia ditemui.
Sebahagian daripada Mei yang sukar
Ini bukan insiden terpencil. Sektor kripto kehilangan sekurang-kurangnya $650 juta pada April daripada penggodaman yang serupa. Mei sahaja menyaksikan eksploitasi jambatan Verus bernilai $11 juta, serangan $5.9 juta ke atas TrustedVolumes, dan kemungkinan insiden THORChain bernilai $10 juta. Pengasas bersama OpenZeppelin, Manuel Aráoz, mengisytiharkan 'semua DeFi tidak selamat', dengan alasan penyerang berbantukan AI menemui kelemahan lebih pantas daripada pasukan keselamatan boleh menambalnya. Loker DxSale — lama, tidak disahkan, dan dipindahkan secara senyap — memenuhi corak yang suram itu.
DxSale masih belum memberi respons kepada permintaan komen. Kontrak loker masih belum diperbaiki, dan jejak penyerang melalui AnySwap bermakna dana mungkin sudah hilang buat selama-lamanya.
