Децентрализованная финансовая платформа DxSale потеряла $7,3 млн в результате атаки, когда злоумышленник использовал пулы ликвидности, неактивные с 2021 года. Инцидент затронул примерно 1400 пулов на BNBChain, средства были выведены из токенов, которые, вероятно, были заброшены их создателями.
Как сработал эксплойт
Атакующий нацелился на пулы, созданные во время бычьего рынка 2021 года, многие из которых оставались нетронутыми годами. Согласно данным в сети, злоумышленник использовал метод, позволяющий вывести заблокированную ликвидность из этих пулов. DxSale подтвердила взлом в своих социальных сетях, сообщив пользователям, что все взломанные пулы были созданы в 2021 году и не имели активного торгового объема.
Платформа призвала держателей токенов и команды проектов отозвать разрешения для любых контрактов, связанных с этими пулами. Злоумышленнику удалось конвертировать украденные токены в BNB и другие активы, после чего он переместил средства через несколько кошельков, чтобы запутать след.
Влияние на пользователей и проекты
Для проектов, создавших эти пулы три года назад, утрата полная — заблокированная ликвидность, предназначенная для обеспечения их токенов, исчезла. Многие из этих проектов, вероятно, уже не функционировали или были заброшены, но некоторые могли оставаться активными. DxSale заявила, что сотрудничает с фирмами по безопасности и аналитиками блокчейна для отслеживания средств, однако возврат маловероятен из-за прошедшего времени и анонимности атакующего.
Сама платформа не является неплатежеспособной, но взлом поднимает вопросы о безопасности устаревших пулов ликвидности на децентрализованных биржах. DxSale приостановила создание новых пулов на BNBChain на время проведения полного аудита своих смарт-контрактов.
Более широкие последствия для DeFi
Этот инцидент подчеркивает постоянную уязвимость в DeFi: заброшенные или неконтролируемые пулы ликвидности могут стать бомбами замедленного действия. Многие токены, запущенные во время бума 2021 года, имели заблокированную ликвидность на определенный срок, но по истечении этого срока никто не удалил её или не обновил контракт. Злоумышленник, знакомый с кодом старого контракта, иногда может найти способ вывести средства.
DxSale — не первая платформа, пострадавшая от такого рода атак, и, вероятно, не последняя. Общая стоимость заблокированной ликвидности в пулах BNBChain 2021 года неизвестна, но украденные $7,3 млн составляют лишь часть того, что может оставаться уязвимым.
Что DxSale предпримет дальше
Команда ввела экстренные меры, включая временную заморозку создания пулов и проверку всех активных контрактов. Они также попросили пользователей сообщать о любой подозрительной активности. Полный разбор инцидента ожидается в течение следующей недели; он будет включать список затронутых адресов пулов и план предотвращения подобных эксплойтов.
На данный момент украденные средства остаются неотслеженными, а личность злоумышленника неизвестна. Следующим шагом DxSale станет усиление процесса проверки контрактов и, возможно, введение требования таймлока или мультиподписи для старых пулов.
