Uma plataforma de finanças descentralizadas, DxSale, perdeu US$ 7,3 milhões depois que um invasor explorou pools de liquidez que estavam inativos desde 2021. O incidente afetou cerca de 1.400 pools na BNBChain, com fundos desviados de tokens que provavelmente foram abandonados por seus criadores.
Como o exploit funcionou
O invasor mirou em pools criados durante o bull run de 2021, muitos dos quais não eram tocados há anos. De acordo com dados on-chain, o explorador usou um método que permitia sacar a liquidez bloqueada desses pools. A DxSale confirmou a violação em seus canais de mídia social, informando que os pools explorados eram todos de 2021 e não tinham volume de negociação ativo.
A plataforma instou detentores de tokens e equipes de projeto a revogar aprovações de quaisquer contratos vinculados a esses pools. O invasor conseguiu converter os tokens roubados em BNB e outros ativos, e depois moveu os fundos por várias carteiras para obscurecer o rastro.
Impacto nos usuários e projetos
Para os projetos que criaram esses pools há três anos, a perda é total — a liquidez bloqueada que deveria respaldar seus tokens desapareceu. Muitos desses projetos provavelmente estavam extintos ou abandonados, mas alguns podem ter permanecido ativos. A DxSale disse que está trabalhando com empresas de segurança e analistas de blockchain para rastrear os fundos, mas a recuperação parece improvável dado o tempo decorrido e o anonimato do invasor.
A plataforma em si não está insolvente, mas a violação levanta questões sobre a segurança de pools de liquidez obsoletos em exchanges descentralizadas. A DxSale pausou a criação de novos pools na BNBChain enquanto realiza uma auditoria completa de seus contratos inteligentes.
Implicações mais amplas para DeFi
Este incidente destaca uma vulnerabilidade persistente em DeFi: pools de liquidez abandonados ou não monitorados podem se tornar bombas-relógio. Muitos tokens lançados durante a febre de 2021 tiveram sua liquidez bloqueada por um período definido, mas quando esse período expirou, ninguém a removeu ou atualizou o contrato. Um invasor com conhecimento do código antigo do contrato pode, às vezes, encontrar uma maneira de retirar os fundos.
A DxSale não é a primeira plataforma a sofrer esse tipo de ataque e provavelmente não será a última. O valor total bloqueado em pools da BNBChain de 2021 é desconhecido, mas os US$ 7,3 milhões levados representam apenas uma fração do que ainda pode estar vulnerável.
O que a DxSale fará a seguir
A equipe implementou medidas de emergência, incluindo uma suspensão temporária de toda criação de pools e uma revisão de cada contrato ativo. Eles também pediram que os usuários relatem qualquer atividade suspeita. Uma análise completa (post-mortem) é esperada na próxima semana, que incluirá uma lista de endereços de pools afetados e um plano para evitar exploits semelhantes.
Por enquanto, os fundos roubados permanecem sem rastreamento e a identidade do invasor é desconhecida. O próximo passo da DxSale será fortalecer seu processo de verificação de contratos e, possivelmente, introduzir um requisito de time-lock ou multisig para pools mais antigos.
