En desentralisert finansplattform, DxSale, har blitt tappet for 7,3 millioner dollar etter at en angriper utnyttet likviditetspooler som hadde vært inaktive siden 2021. Hendelsen påvirket omtrent 1400 pooler på BNBChain, og midler ble tappet fra tokens som sannsynligvis var forlatt av skaperne.
Slik fungerte angrepet
Angriperen rettet seg mot pooler opprettet under bull-markedet i 2021, hvor mange hadde vært urørt i årevis. Ifølge blokkjededata brukte utnytteren en metode som tillot dem å trekke ut den låste likviditeten fra disse poolene. DxSale bekreftet bruddet på sine sosiale mediekanaler og informerte brukerne om at de utnyttede poolene alle var fra 2021 og ikke hadde noe aktivt handelsvolum.
Plattformen oppfordret tokenholdere og prosjektteam til å trekke tilbake godkjenninger for eventuelle kontrakter knyttet til disse poolene. Angriperen klarte å konvertere de stjålne tokenene til BNB og andre eiendeler, og deretter flyttet de midlene gjennom flere lommebøker for å skjule sporene.
Påvirkning på brukere og prosjekter
For prosjektene som opprettet disse poolene for tre år siden, er tapet totalt – den låste likviditeten som skulle støtte tokenene deres, er borte. Mange av disse prosjektene var sannsynligvis nedlagt eller forlatt, men noen kan ha vært fortsatt aktive. DxSale sier de samarbeider med sikkerhetsfirmaer og blokkjedeanalytikere for å spore midlene, men gjenoppretting virker usannsynlig gitt tiden som har gått og angriperens anonymitet.
Plattformen selv er ikke insolvent, men bruddet reiser spørsmål om sikkerheten til foreldede likviditetspooler på desentraliserte børser. DxSale har satt pause for opprettelse av nye pooler på BNBChain mens de gjennomfører en full revisjon av sine smartkontrakter.
Bredere implikasjoner for DeFi
Denne hendelsen fremhever en vedvarende sårbarhet i DeFi: forlatte eller uovervåkede likviditetspooler kan bli tikkende bomber. Mange tokens lansert under 2021-feberen hadde likviditeten låst for en bestemt periode, men når perioden utløp, fjernet ingen den eller oppdaterte kontrakten. En angriper med kjennskap til gammel kontraktskode kan noen ganger finne en måte å hente ut midlene på.
DxSale er ikke den første plattformen som lider under denne typen angrep, og det vil sannsynligvis ikke være den siste. Den totale verdien låst i BNBChain-pooler fra 2021 er ukjent, men de 7,3 millionene som ble tatt, representerer bare en brøkdel av det som fortsatt kan være sårbart.
Hva DxSale gjør videre
Teamet har iverksatt nødtiltak, inkludert en midlertidig frysing av all pool-opprettelse og en gjennomgang av hver aktive kontrakt. De har også bedt brukere om å rapportere mistenkelig aktivitet. En full etteranalyse forventes i løpet av den neste uken, som vil inkludere en liste over berørte pool-adresser og en plan for å forhindre lignende angrep.
Foreløpig er de stjålne midlene ikke sporet, og angriperens identitet er ukjent. DxSales neste trekk blir å styrke kontraktverifiseringsprosessen og muligens innføre et tidslås- eller flersignaturskrav for eldre pooler.
