Более 1400 пулов ликвидности, связанных со старыми контрактами DxSale в BNB Chain, были обчищены в результате взлома на сумму 7,3 млн долларов. Об этом впервые сообщил пользователь по имени «Tahax» 29 мая. Атакующий извлек средства из локер-контракта DxSale — контракта, в котором хранились токены ликвидности проектов, запущенных несколько лет назад, — и переместил их через AnySwap, чтобы замаскировать след. Этот инцидент стал еще одним эпизодом в тяжелом месяце для криптобезопасности, когда убытки накапливаются из-за атак на мосты и кредитные протоколы.
Как произошел взлом
Атакующий использовал кошелек 0xC457...FA69 — новый адрес, пополненный через Bybit и, вероятно, маршрутизированный через AnySwap, — чтобы получить контроль над локер-контрактом DxSale. Контракт был непроверенным и, вероятно, содержал бэкдор, который атакующий использовал для изъятия токенов ликвидности в течение нескольких часов. Далее 2958 BNB (1,87 млн долларов) были переведены на два основных кошелька, а затем перемещены через депозитные адреса Binance.
Тихая передача прав собственности
Почти девять месяцев назад разработчик DxSale передал права собственности на локер на новый кошелек — без публичного объявления или уведомления о миграции. Старые контракты оставались неактивными годами, что сделало их легкой мишенью. DxSale, платформа для запуска проектов, до сих пор не прокомментировала инцидент.
Часть тяжелого мая
Это не единичный случай. В апреле криптосектор потерял как минимум 650 млн долларов из-за подобных взломов. Только в мае были зафиксированы взлом моста Verus на сумму 11 млн долларов, атака на TrustedVolumes на 5,9 млн долларов и возможный инцидент с THORChain на 10 млн долларов. Соучредитель OpenZeppelin Мануэль Араоз заявил, что «вся DeFi небезопасна», утверждая, что атакующие с использованием ИИ находят уязвимости быстрее, чем команды безопасности успевают их устранить. Локер DxSale — старый, непроверенный и тихо переданный — вписывается в эту мрачную картину.
DxSale до сих пор не ответила на запросы о комментарии. Локер-контракт остается неисправленным, а след атакующего через AnySwap означает, что средства, скорее всего, безвозвратно утрачены.
