Meer dan 1.400 liquiditeitspools die verbonden waren met oude DxSale-contracten op BNB Chain zijn leeggehaald in een exploit van $7,3 miljoen die voor het eerst werd gemeld op 29 mei door een gebruiker genaamd 'Tahax'. De aanvaller haalde fondsen uit DxSale's locker — een contract dat LP-tokens bevatte van projecten die jaren geleden zijn gelanceerd — en verplaatste ze via AnySwap om het spoor te verdoezelen. De exploit voegt zich bij een brute maand voor cryptobeveiliging, met verliezen die zich opstapelen bij bruggen en uitleenprotocollen.
Hoe de exploit werkte
De aanvaller gebruikte wallet 0xC457...FA69, een nieuw adres dat gefinancierd werd via Bybit en mogelijk via AnySwap werd geleid, om eigenaar te worden van DxSale's locker-contract. Dat contract was ongeverifieerd en bevatte waarschijnlijk een achterdeur, die de aanvaller exploiteerde om de LP-tokens binnen enkele uren leeg te halen. Van daaruit werd 2.958 BNB ($1,87 miljoen) overgemaakt naar twee hoofdwallets, en vervolgens verplaatst via stortingsadressen op Binance.
Een stille eigendomsoverdracht
Bijna negen maanden geleden droeg de DxSale-deployer het eigendom van de locker over aan een nieuwe wallet — zonder openbare aankondiging of migratiekennisgeving. De oude contracten hadden jarenlang onaangeroerd gelegen, waardoor ze een aantrekkelijk doelwit waren. DxSale, een lanceerplatform, heeft nog geen verklaring afgelegd over de exploit sinds deze werd ontdekt.
Onderdeel van een brute mei
Dit is geen geïsoleerd incident. De cryptosector verloor in april minstens $650 miljoen door vergelijkbare hacks. Mei alleen al kende een exploit van $11 miljoen bij Verus Bridge, een aanval van $5,9 miljoen op TrustedVolumes, en een mogelijk incident van $10 miljoen bij THORChain. Medeoprichter van OpenZeppelin, Manuel Aráoz, verklaarde dat 'alle DeFi onveilig is' en stelde dat AI-ondersteunde aanvallers sneller kwetsbaarheden vinden dan beveiligingsteams ze kunnen patchen. De DxSale-locker — oud, ongeverifieerd en stil overgedragen — past in dat sombere patroon.
DxSale heeft nog niet gereageerd op verzoeken om commentaar. Het locker-contract blijft ongepatcht, en het spoor van de aanvaller via AnySwap betekent dat de fondsen waarschijnlijk voorgoed verdwenen zijn.
