Ponad 1 400 pul płynności powiązanych ze starymi kontraktami DxSale na BNB Chain zostało wyczerpanych w wyniku exploitu o wartości 7,3 mln USD, który jako pierwszy zgłosił 29 maja użytkownik o pseudonimie 'Tahax'. Atakujący wycofał środki z lockera DxSale – kontraktu przechowującego tokeny LP z projektów uruchomionych lata temu – i przeniósł je przez AnySwap, aby zatrzeć ślady. Exploit ten dołącza do brutalnego miesiąca dla bezpieczeństwa kryptowalut, w którym straty narastają na mostach i protokołach pożyczkowych.
Jak działał exploit
Atakujący użył portfela 0xC457...FA69, nowego adresu zasilanego z Bybit i prawdopodobnie kierowanego przez AnySwap, aby przejąć własność kontraktu lockera DxSale. Ten kontrakt był niezweryfikowany i prawdopodobnie zawierał backdoor, który atakujący wykorzystał do wyprowadzenia tokenów LP w ciągu kilku godzin. Następnie 2 958 BNB (1,87 mln USD) zostało przesłane do dwóch głównych portfeli, a później przeniesione przez adresy depozytowe na Binance.
Cicha zmiana właściciela
Prawie dziewięć miesięcy temu deployer DxSale przeniósł własność lockera na nowy portfel – bez publicznego ogłoszenia ani informacji o migracji. Stare kontrakty leżały nietknięte od lat, co czyniło je łatwym celem. DxSale, platforma startowa (launchpad), nie wydała żadnego oświadczenia w sprawie exploitu od czasu jego wykrycia.
Część brutalnego maja
To nie jest odosobniony incydent. Sektor kryptowalut stracił w kwietniu co najmniej 650 mln USD w wyniku podobnych hacków. Tylko w maju doszło do exploitu mostu Verus o wartości 11 mln USD, ataku na TrustedVolumes za 5,9 mln USD oraz możliwego incydentu THORChain na 10 mln USD. Współzałożyciel OpenZeppelin, Manuel Aráoz, oświadczył, że 'całe DeFi jest niebezpieczne', argumentując, że atakujący wspomagani przez AI znajdują luki szybciej, niż zespoły bezpieczeństwa są w stanie je załatać. Locker DxSale – stary, niezweryfikowany i po cichu przekazany – wpisuje się w ten ponury schemat.
DxSale nie odpowiedziało jeszcze na prośby o komentarz. Kontrakt lockera pozostaje niezałatany, a ślad atakującego przez AnySwap oznacza, że środki prawdopodobnie przepadły na dobre.
