Platforma zdecentralizowanych finansów, DxSale, straciła 7,3 miliona dolarów po tym, jak atakujący wykorzystał pule płynności, które były nieaktywne od 2021 roku. Incydent dotknął około 1 400 pul w sieci BNBChain, z których wytransferowano środki z tokenów prawdopodobnie porzuconych przez ich twórców.
Jak działał exploit
Atakujący celował w pule utworzone podczas hossy w 2021 roku, z których wiele pozostawało nietkniętych przez lata. Według danych z łańcucha, napastnik użył metody, która pozwoliła mu wypłacić zablokowaną płynność z tych pul. DxSale potwierdziło naruszenie na swoich kanałach w mediach społecznościowych, informując użytkowników, że wszystkie wykorzystane pule pochodziły z 2021 roku i nie miały aktywnego wolumenu handlowego.
Platforma wezwała posiadaczy tokenów i zespoły projektowe do cofnięcia zatwierdzeń dla wszelkich kontraktów powiązanych z tymi pulami. Atakującemu udało się zamienić skradzione tokeny na BNB i inne aktywa, a następnie przesłać środki przez wiele portfeli, aby zaciemnić ślad.
Wpływ na użytkowników i projekty
Dla projektów, które utworzyły te pule trzy lata temu, strata jest całkowita – zablokowana płynność, która miała zabezpieczać ich tokeny, przepadła. Wiele z tych projektów prawdopodobnie już nie istnieje lub zostało porzuconych, ale kilka mogło pozostać aktywnych. DxSale poinformowało, że współpracuje z firmami ochroniarskimi i analitykami blockchain, aby namierzyć środki, ale odzyskanie ich wydaje się mało prawdopodobne ze względu na upływ czasu i anonimowość atakującego.
Sama platforma nie jest niewypłacalna, ale naruszenie rodzi pytania o bezpieczeństwo nieaktualnych pul płynności na zdecentralizowanych giełdach. DxSale wstrzymało tworzenie nowych pul w sieci BNBChain na czas pełnego audytu swoich inteligentnych kontraktów.
Szersze implikacje dla DeFi
Ten incydent uwydatnia trwałą podatność w DeFi: porzucone lub niekontrolowane pule płynności mogą stać się tykającymi bombami zegarowymi. Wiele tokenów uruchomionych podczas szału w 2021 roku miało zablokowaną płynność na określony czas, ale po jego wygaśnięciu nikt jej nie usunął ani nie zaktualizował kontraktu. Atakujący znający kod starego kontraktu może czasem znaleźć sposób na wyciągnięcie środków.
DxSale nie jest pierwszą platformą, która padła ofiarą tego rodzaju ataku i prawdopodobnie nie będzie ostatnią. Łączna wartość zablokowana w pulach BNBChain z 2021 roku jest nieznana, ale skradzione 7,3 miliona dolarów stanowi tylko ułamek tego, co wciąż może być narażone na atak.
Co DxSale robi dalej
Zespół wdrożył środki nadzwyczajne, w tym tymczasowe zamrożenie tworzenia wszystkich pul i przegląd każdego aktywnego kontraktu. Poproszono również użytkowników o zgłaszanie podejrzanej aktywności. Pełna analiza pośmiertna spodziewana jest w ciągu najbliższego tygodnia, która obejmie listę adresów dotkniętych pul oraz plan zapobiegania podobnym exploitom.
Na razie skradzione środki pozostają nieodnalezione, a tożsamość atakującego nieznana. DxSale zamierza w następnym kroku wzmocnić proces weryfikacji kontraktów i ewentualnie wprowadzić wymóg blokady czasowej lub wielopodpisów dla starszych pul.
