Een exploit gericht op DxSale's legacy liquiditeitskluis op BNB Chain heeft ongeveer $7,3 miljoen afgetapt uit circa 1.400 liquiditeitspools. Analisten zeggen dat achterdeurkwetsbaarheden in het contract de aanval mogelijk maakten.
De achterdeurkwetsbaarheid
Het gecompromitteerde systeem was een oudere versie van DxSale's liquiditeitskluis, een tool die liquiditeitsverschaffers-tokens (LP-tokens) vergrendelt om te voorkomen dat ontwikkelaars fondsen weghalen. Onderzoekers herleidden de inbreuk naar wat zij omschreven als achterdeurzwaktes — verborgen toegangspunten die de aanvaller in staat stelden om normale beveiligingscontroles te omzeilen en activa weg te sluizen.
Blockchain-beveiligingsbedrijven die het incident monitorden, merkten op dat de exploit meerdere pools tegelijk aanviel. De aanvaller handelde snel en tapte tokens uit elke pool af voordat het contract kon worden gepauzeerd of gepatcht.
Impact op liquiditeitspools
De 1.400 getroffen pools vertegenwoordigen een breed scala aan tokenprojecten die vertrouwden op DxSale's kluis om hun liquiditeit te beveiligen. Voor veel van die projecten is het verlies totaal — de gestolen fondsen waren de vergrendelde liquiditeit die de handel op gedecentraliseerde beurzen ondersteunt.
Gebruikers van die pools blijven nu achter met waardeloze posities. Sommige projecten hebben al verklaringen uitgegeven waarin ze hun gemeenschappen waarschuwen dat de vergrendelde tokens weg zijn en dat herstel onwaarschijnlijk is.
DxSale heeft sinds de exploit geen openbare update uitgebracht. Het team van het bedrijf werkt vermoedelijk aan een incidentrapport en een oplossing voor de kwetsbaarheid. Maar voorlopig is er geen tijdlijn voor compensatie of herstel.
De exploit is een herinnering dat oudere smart contracts tikkende tijdbommen kunnen worden naarmate het DeFi-ecosysteem evolueert. Auditors en ontwikkelaars dringen er bij projecten die legacy lockers gebruiken op aan om te migreren naar bijgewerkte versies — voordat de volgende aanvaller de deur vindt.
