Mer enn 1 400 likviditetspooler knyttet til gamle DxSale-kontrakter på BNB-kjeden ble tappet i et 7,3 millioner dollar-eksploit som først ble flagget 29. mai av en bruker kalt «Tahax». Angriperen hentet midler fra DxSales låsekontrakt – en kontrakt som inneholdt LP-tokens fra prosjekter lansert for år siden – og flyttet dem gjennom AnySwap for å skjule sporet. Eksploiteten legger seg til en brutal måned for kryptosikkerhet, med tap som hoper seg opp på tvers av broer og utlånsprotokoller.
Slik fungerte eksploiteten
Angriperen brukte lommeboken 0xC457…FA69, en ny adresse finansiert fra Bybit og muligens rutet gjennom AnySwap, for å ta eierskap over DxSales låsekontrakt. Den kontrakten var uverifisert og inneholdt sannsynligvis en bakdør, som angriperen utnyttet til å tappe LP-tokenene i løpet av timer. Derfra ble 2 958 BNB (1,87 millioner dollar) overført til to hovedlommebøker, og deretter flyttet gjennom innskuddsadresser på Binance.
En stille eierskifte
Nesten ni måneder siden overførte DxSale-utplassereren eierskapet av låsekontrakten til en ny lommebok – uten offentlig kunngjøring eller migreringsvarsel. De gamle kontraktene hadde ligget urørt i årevis, noe som gjorde dem til et modent mål. DxSale, en oppstartspanelplattform, har ikke kommet med noen uttalelse om eksploiteten siden den ble oppdaget.
Del av en brutal mai
Dette er ikke en isolert hendelse. Kryptosektoren tapte minst 650 millioner dollar i april fra lignende hacks. Mai alene så et 11 millioner dollar Verus-bro-eksploit, et 5,9 millioner dollar-angrep på TrustedVolumes, og en mulig 10 millioner dollar THORChain-hendelse. OpenZeppelin-medgründer Manuel Aráoz erklærte «all DeFi usikker», og argumenterte for at AI-assisterte angripere finner sårbarheter raskere enn sikkerhetsteam kan fikse dem. DxSale-låsekontrakten – gammel, uverifisert og stille overført – passer inn i det dystre mønsteret.
DxSale har ennå ikke respondert på henvendelser om kommentarer. Låsekontrakten forblir ulappet, og angriperens spor gjennom AnySwap betyr at midlene sannsynligvis er tapt for godt.
