Mais de 1.400 pools de liquidez vinculados a contratos antigos da DxSale na BNB Chain foram drenados em uma exploração de US$ 7,3 milhões, identificada pela primeira vez em 29 de maio por um usuário chamado 'Tahax'. O invasor retirou fundos do bloqueador (locker) da DxSale — um contrato que mantinha tokens LP de projetos lançados há anos — e os moveu através da AnySwap para obscurecer o rastro. A exploração se soma a um mês brutal para a segurança cripto, com perdas se acumulando em bridges e protocolos de empréstimo.
Como a exploração funcionou
O invasor usou a carteira 0xC457...FA69, um novo endereço financiado pela Bybit e possivelmente roteado pela AnySwap, para assumir a propriedade do contrato bloqueador da DxSale. Esse contrato não era verificado e provavelmente continha uma backdoor, que o invasor explorou para drenar os tokens LP em poucas horas. A partir daí, 2.958 BNB (US$ 1,87 milhão) foram transferidos para duas carteiras principais e depois movidos através de endereços de depósito na Binance.
Uma mudança silenciosa de propriedade
Há quase nove meses, o implantador da DxSale transferiu a propriedade do bloqueador para uma nova carteira — sem nenhum anúncio público ou aviso de migração. Os contratos antigos estavam inativos há anos, tornando-se um alvo fácil. A DxSale, uma plataforma de lançamento, não fez nenhuma declaração sobre a exploração desde que foi descoberta.
Parte de um maio brutal
Este não é um incidente isolado. O setor cripto perdeu pelo menos US$ 650 milhões em abril com hacks semelhantes. Só em maio, houve uma exploração de US$ 11 milhões na bridge da Verus, um ataque de US$ 5,9 milhões à TrustedVolumes e um possível incidente de US$ 10 milhões na THORChain. O cofundador da OpenZeppelin, Manuel Aráoz, declarou 'todo DeFi inseguro', argumentando que atacantes assistidos por IA estão encontrando vulnerabilidades mais rápido do que as equipes de segurança conseguem corrigi-las. O bloqueador da DxSale — antigo, não verificado e transferido silenciosamente — se encaixa nesse padrão sombrio.
A DxSale ainda não respondeu aos pedidos de comentário. O contrato bloqueador permanece sem correção, e o rastro do invasor através da AnySwap significa que os fundos provavelmente estão perdidos para sempre.
