Një platformë e financave të decentralizuara, DxSale, është zbrazur nga 7.3 milionë dollarë pasi një sulmues shfrytëzoi pishinat e likuiditetit që kishin qenë joaktive që nga viti 2021. Incidenti preku rreth 1,400 pishina në BNBChain, me fonde të tërhequra nga tokena që ishin braktisur me shumë gjasa nga krijuesit e tyre.
Si funksionoi shfrytëzimi
Sulmuesi synoi pishinat e krijuara gjatë periudhës së rritjes së tregut të vitit 2021, shumë prej të cilave kishin mbetur të paprekura për vite. Sipas të dhënave në zinxhir, shfrytëzuesi përdori një metodë që i lejonte të tërhiqte likuiditetin e kyçur nga këto pishina. DxSale konfirmoi shkeljen në kanalet e saj të mediave sociale, duke këshilluar përdoruesit se pishinat e shfrytëzuara ishin të gjitha nga viti 2021 dhe nuk kishin vëllim tregtar aktiv.
Platforma u bëri thirrje mbajtësve të tokenave dhe ekipeve të projekteve të revokonin miratimet për çdo kontratë të lidhur me ato pishina. Sulmuesi arriti të konvertonte tokenat e vjedhur në BNB dhe asete të tjera, më pas i transferoi fondet përmes shumë kuletave për të fshehur gjurmët.
Ndikimi te përdoruesit dhe projektet
Për projektet që krijuan ato pishina tre vjet më parë, humbja është totale — likuiditeti i kyçur që ishte menduar për të mbështetur tokenat e tyre është zhdukur. Shumë nga ato projekte ishin ndoshta të falimentuara ose të braktisura, por disa mund të kenë mbetur aktive. DxSale tha se po punon me firma sigurie dhe analistë të zinxhirit për të gjurmuar fondet, por shërimi duket i pamundur duke pasur parasysh kohën e kaluar dhe anonimitetin e sulmuesit.
Vetë platforma nuk është e falimentuar, por shkelja ngre pyetje për sigurinë e pishinave të likuiditetit të vjetruara në shkëmbimet e decentralizuara. DxSale ka ndaluar krijimin e pishinave të reja në BNBChain derisa të kryejë një auditim të plotë të kontratave të saj inteligjente.
Implikime më të gjera për DeFi
Ky incident nxjerr në pah një dobësi të vazhdueshme në DeFi: pishinat e likuiditetit të braktisura ose të pambikëqyrura mund të kthehen në bomba me sahat. Shumë tokena të nisur gjatë vrullit të vitit 2021 kishin likuiditetin e tyre të kyçur për një periudhë të caktuar, por kur ajo periudhë skadoi, askush nuk e hoqi atë ose përditësoi kontratën. Një sulmues me njohuri të kodit të vjetër të kontratës ndonjëherë mund të gjejë një mënyrë për të tërhequr fondet.
DxSale nuk është platforma e parë që pëson këtë lloj sulmi, dhe me siguri nuk do të jetë e fundit. Vlera totale e kyçur në pishinat e BNBChain të vitit 2021 është e panjohur, por 7.3 milionë dollarët e marrë përfaqësojnë vetëm një pjesë të asaj që mund të jetë ende e cenueshme.
Çfarë do të bëjë më tej DxSale
Ekipi ka zbatuar masa emergjente, duke përfshirë një ngrirje të përkohshme të të gjitha krijimeve të pishinave dhe një rishikim të çdo kontrate aktive. Ata gjithashtu u kanë kërkuar përdoruesve të raportojnë çdo aktivitet të dyshimtë. Një analizë e plotë post-mortem pritet brenda javës së ardhshme, e cila do të përfshijë një listë të adresave të pishinave të prekura dhe një plan për të parandaluar shfrytëzime të ngjashme.
Tani për tani, fondet e vjedhura mbeten të pagjurmuara dhe identiteti i sulmuesit i panjohur. Lëvizja tjetër e DxSale do të jetë forcimi i procesit të verifikimit të kontratave dhe ndoshta futja e një kërkese për kyçje me kohë ose nënshkrim të shumëfishtë për pishinat më të vjetra.
