Een decentralized finance-platform, DxSale, heeft $7,3 miljoen verloren nadat een aanvaller liquiditeitspools exploiteerde die sinds 2021 inactief waren. Het incident trof ongeveer 1.400 pools op de BNBChain, waarbij geld werd weggesluisd uit tokens die waarschijnlijk door hun makers waren verlaten.
Hoe de exploit werkte
De aanvaller richtte zich op pools die tijdens de bullrun van 2021 waren aangemaakt, waarvan er vele jaren onberoerd waren gebleven. Volgens on-chain gegevens gebruikte de exploitant een methode waarmee hij de vergrendelde liquiditeit uit deze pools kon opnemen. DxSale bevestigde de inbreuk op zijn sociale mediakanalen en liet gebruikers weten dat de getroffen pools allemaal uit 2021 stamden en geen actief handelsvolume hadden.
Het platform drong er bij tokenhouders en projectteams op aan om goedkeuringen voor contracten die aan die pools waren gekoppeld in te trekken. De aanvaller slaagde erin de gestolen tokens om te zetten in BNB en andere activa, en verplaatste het geld vervolgens via meerdere wallets om het spoor te vertroebelen.
Impact op gebruikers en projecten
Voor de projecten die die pools drie jaar geleden hebben aangemaakt, is het verlies totaal: de vergrendelde liquiditeit die hun tokens moest ondersteunen, is verdwenen. Veel van die projecten waren waarschijnlijk opgeheven of verlaten, maar een paar zijn mogelijk nog actief gebleven. DxSale zegt dat het samenwerkt met beveiligingsbedrijven en blockchain-analisten om de fondsen te traceren, maar herstel lijkt onwaarschijnlijk gezien de verstreken tijd en de anonimiteit van de aanvaller.
Het platform zelf is niet insolvent, maar de inbreuk roept vragen op over de veiligheid van verouderde liquiditeitspools op gedecentraliseerde exchanges. DxSale heeft het aanmaken van nieuwe pools op BNBChain tijdelijk stopgezet terwijl het een volledige audit van zijn slimme contracten uitvoert.
Bredere implicaties voor DeFi
Dit incident benadrukt een hardnekkige kwetsbaarheid in DeFi: verlaten of onbewaakte liquiditeitspools kunnen tijdbommen worden. Veel tokens die tijdens de frenzy van 2021 werden gelanceerd, hadden hun liquiditeit voor een bepaalde periode vergrendeld, maar toen die periode afliep, verwijderde niemand deze of werkte niemand het contract bij. Een aanvaller met kennis van de oude contractcode kan soms een manier vinden om de fondsen weg te halen.
DxSale is niet het eerste platform dat het slachtoffer wordt van dit soort aanvallen, en het zal waarschijnlijk niet de laatste zijn. De totale waarde die vastzit in BNBChain-pools uit 2021 is onbekend, maar de $7,3 miljoen die is gestolen, vertegenwoordigt slechts een fractie van wat nog kwetsbaar kan zijn.
Wat DxSale nu doet
Het team heeft noodmaatregelen genomen, waaronder een tijdelijke bevriezing van alle poolcreatie en een herziening van elk actief contract. Ook hebben ze gebruikers gevraagd verdachte activiteiten te melden. Binnen de komende week wordt een volledige post-mortem verwacht, inclusief een lijst met getroffen pooladressen en een plan om vergelijkbare exploits te voorkomen.
Voorlopig blijven de gestolen fondsen ongetraceerd en is de identiteit van de aanvaller onbekend. De volgende stap van DxSale is om het contractverificatieproces te versterken en mogelijk een time-lock of multisig-vereiste in te voeren voor oudere pools.
