Më shumë se 1,400 pishina likuiditeti të lidhura me kontrata të vjetra të DxSale në BNB Chain u zbrazën në një shfrytëzim prej 7.3 milionë dollarësh, i raportuar fillimisht më 29 maj nga një përdorues i quajtur 'Tahax'. Sulmuesi tërhoqi fondet nga kasaforta e DxSale — një kontratë që mbante tokenë LP nga projekte të lansuara vite më parë — dhe i zhvendosi përmes AnySwap për të errësuar gjurmët. Shfrytëzimi i shtohet një muaji të vështirë për sigurinë e kriptove, me humbje që grumbullohen nëpër ura dhe protokolle huadhënieje.
Si funksionoi shfrytëzimi
Sulmuesi përdori portofolin 0xC457...FA69, një adresë të re të financuar nga Bybit dhe ndoshta të drejtuar përmes AnySwap, për të marrë në pronësi kontratën e kasafortës së DxSale. Ajo kontratë ishte e paverifikuar dhe me gjasa përmbante një derë të pasme, të cilën sulmuesi e shfrytëzoi për të zbrazur tokenët LP brenda disa orëve. Prej aty, 2,958 BNB (1.87 milionë dollarë) u transferuan në dy portofole kryesore, më pas u zhvendosën nëpër adresa depozitimi në Binance.
Një ndryshim i heshtur i pronësisë
Pothuajse nëntë muaj më parë, vendosësi i DxSale transferoi pronësinë e kasafortës në një portofol të ri — pa asnjë njoftim publik ose paralajmërim migrimi. Kontratat e vjetra kishin qëndruar të paprekura për vite, duke i bërë një objektiv të pjekur. DxSale, një platformë lansimi, nuk ka bërë asnjë deklaratë në lidhje me shfrytëzimin që nga zbulimi i tij.
Pjesë e një maji të ashpër
Ky nuk është një incident i izoluar. Sektori i kriptove humbi të paktën 650 milionë dollarë në prill nga sulme të ngjashme. Vetëm maji pa një shfrytëzim të urës Verus prej 11 milionë dollarësh, një sulm prej 5.9 milionë dollarësh ndaj TrustedVolumes, dhe një incident të mundshëm prej 10 milionë dollarësh në THORChain. Bashkë-themeluesi i OpenZeppelin, Manuel Aráoz, deklaroi 'të gjithë DeFi është i pasigurt', duke argumentuar se sulmuesit e ndihmuar nga AI po gjejnë dobësi më shpejt sesa ekipet e sigurisë mund t'i arnojë ato. Kasaforta e DxSale — e vjetër, e paverifikuar dhe e transferuar në heshtje — përputhet me atë model të zymtë.
DxSale ende nuk i është përgjigjur kërkesave për koment. Kontrata e kasafortës mbetet e paarnuar, dhe gjurmët e sulmuesit përmes AnySwap nënkuptojnë se fondet ka të ngjarë të jenë humbur përgjithmonë.
