Peste 1.400 de pool-uri de lichiditate asociate contractelor vechi DxSale pe BNB Chain au fost golite într-un exploit de $7,3 milioane semnalat pentru prima dată pe 29 mai de un utilizator numit 'Tahax'. Atacatorul a extras fonduri din lockerul DxSale — un contract care deținea tokenuri LP de la proiecte lansate cu ani în urmă — și le-a mutat prin AnySwap pentru a ascunde urmele. Exploitul se adaugă unei luni brutale pentru securitatea cripto, cu pierderi care se acumulează în poduri și protocoale de împrumut.
Cum a funcționat exploitul
Atacatorul a folosit portofelul 0xC457...FA69, o adresă nouă finanțată de pe Bybit și posibil rutată prin AnySwap, pentru a prelua controlul contractului locker al DxSale. Acel contract era neverificat și conținea probabil o ușă din spate (backdoor), pe care atacatorul a exploatat-o pentru a goli tokenurile LP în câteva ore. De acolo, 2.958 BNB ($1,87 milioane) au fost transferați în două portofele principale, apoi mutați prin adrese de depozit pe Binance.
O schimbare tăcută a proprietății
Acum aproape nouă luni, deployerul DxSale a transferat proprietatea lockerului unui nou portofel — fără niciun anunț public sau notificare de migrare. Contractele vechi au stat neatinse ani de zile, făcându-le o țintă ideală. DxSale, o platformă de tip launchpad, nu a făcut nicio declarație despre exploit de când a fost descoperit.
Parte a unui mai brutal
Acesta nu este un incident izolat. Sectorul cripto a pierdut cel puțin $650 de milioane în aprilie din cauza unor hack-uri similare. Numai în mai au avut loc un exploit de $11 milioane pe podul Verus, un atac de $5,9 milioane asupra TrustedVolumes și un posibil incident de $10 milioane pe THORChain. Co-fondatorul OpenZeppelin, Manuel Aráoz, a declarat „tot DeFi-ul este nesigur”, susținând că atacatorii ajutați de inteligență artificială găsesc vulnerabilități mai repede decât pot echipele de securitate să le corecteze. Lockerul DxSale — vechi, neverificat și transferat în tăcere — se încadrează în acest tipar sumbru.
DxSale nu a răspuns încă solicitărilor de comentarii. Contractul locker rămâne necorectat, iar urma atacatorului prin AnySwap înseamnă că fondurile sunt probabil pierdute pentru totdeauna.
