Eksploitasi yang menyasarkan pengunci kecairan legacy DxSale di Rantaian BNB telah menguras $7.3 juta daripada kira-kira 1,400 kolam kecairan. Penganalisis mengatakan kelemahan pintu belakang dalam kontrak tersebut memungkinkan serangan ini berlaku.
Kelemahan pintu belakang
Sistem yang dikompromi adalah versi lama pengunci kecairan DxSale, alat yang mengunci token penyedia kecairan untuk menghalang pemaju daripada menarik dana. Penyiasat mengesan pelanggaran itu kepada apa yang mereka gambarkan sebagai kelemahan pintu belakang — titik akses tersembunyi yang membolehkan penyerang memintas pemeriksaan keselamatan biasa dan menyedut aset.
Firma keselamatan blokchain yang memantau insiden itu mencatat bahawa eksploitasi tersebut menyasarkan pelbagai kolam serentak. Penyerang bergerak pantas, menguras token dari setiap kolam sebelum kontrak boleh dihentikan sementara atau ditampal.
Kesan terhadap kolam kecairan
1,400 kolam yang terjejas mewakili pelbagai projek token yang bergantung pada pengunci DxSale untuk melindungi kecairan mereka. Bagi kebanyakan projek tersebut, kerugian adalah total — dana yang dicuri adalah kecairan terkunci yang menjadi asas perdagangan di bursa terdesentralisasi.
Pengguna kolam tersebut kini ditinggalkan dengan kedudukan yang tidak bernilai. Beberapa projek telah mengeluarkan kenyataan memberi amaran kepada komuniti mereka bahawa token yang dikunci telah hilang dan pemulihan tidak mungkin berlaku.
DxSale belum mengeluarkan kemas kini awam sejak eksploitasi itu. Pasukan syarikat mungkin sedang mengerjakan laporan insiden dan pembetulan untuk kelemahan tersebut. Tetapi buat masa ini, tiada garis masa untuk pampasan atau pemulihan.
Eksploitasi ini mengingatkan bahawa kontrak pintar lama boleh menjadi bom masa berdetik apabila ekosistem DeFi berkembang. Juruaudit dan pemaju menggesa projek yang menggunakan pengunci legacy untuk berhijrah ke versi terkini — sebelum penyerang seterusnya mencari pintu tersebut.
