En plattform för decentraliserad finans, DxSale, har tömts på 7,3 miljoner dollar efter att en angripare utnyttjat likviditetspooler som varit inaktiva sedan 2021. Händelsen påverkade cirka 1 400 pooler på BNBChain, med pengar som avlägsnats från tokens som sannolikt övergivits av sina skapare.
Så fungerade attacken
Angriparen riktade in sig på pooler som skapades under tjurrusningen 2021, varav många hade lämnats orörda i åratal. Enligt kedjedata använde angriparen en metod som gjorde det möjligt att ta ut den låsta likviditeten från dessa pooler. DxSale bekräftade intrånget på sina sociala medier och meddelade användarna att de utnyttjade poolerna alla var från 2021 och saknade aktiv handelsvolym.
Plattformen uppmanade tokeninnehavare och projektteam att återkalla godkännanden för alla kontrakt kopplade till dessa pooler. Angriparen lyckades omvandla de stulna tokenerna till BNB och andra tillgångar, och flyttade sedan pengarna genom flera plånböcker för att dölja spåret.
Påverkan på användare och projekt
För de projekt som skapade dessa pooler för tre år sedan är förlusten total – den låsta likviditeten som var avsedd att backa deras tokens är borta. Många av dessa projekt var sannolikt nerlagda eller övergivna, men ett fåtal kan ha varit aktiva. DxSale uppger att man samarbetar med säkerhetsföretag och blockkedjeanalytiker för att spåra pengarna, men återvinning verkar osannolik med tanke på den tid som förflutit och angriparens anonymitet.
Plattformen själv är inte insolvent, men intrånget väcker frågor om säkerheten för gamla likviditetspooler på decentraliserade börser. DxSale har pausat skapandet av nya pooler på BNBChain medan man genomför en fullständig granskning av sina smarta kontrakt.
Bredare implikationer för DeFi
Denna händelse belyser en bestående sårbarhet inom DeFi: övergivna eller oövervakade likviditetspooler kan bli tickande bomber. Många tokens som lanserades under rusningen 2021 hade sin likviditet låst under en viss period, men när den perioden löpte ut tog ingen bort den eller uppdaterade kontraktet. En angripare med kunskap om den gamla kontraktskoden kan ibland hitta ett sätt att hämta ut pengarna.
DxSale är inte den första plattformen som drabbats av denna typ av attack, och kommer sannolikt inte att vara den sista. Det totala värdet låst i BNBChain-pooler från 2021 är okänt, men de 7,3 miljoner dollar som togs representerar bara en bråkdel av vad som fortfarande kan vara sårbart.
Vad DxSale gör härnäst
Teamet har infört nödåtgärder, inklusive ett tillfälligt stopp för allt poolskapande och en granskning av varje aktivt kontrakt. De har också bett användare att rapportera misstänkt aktivitet. En fullständig analys väntas inom nästa vecka, som kommer att innehålla en lista över berörda pooladresser och en plan för att förhindra liknande attacker.
För tillfället är de stulna pengarna fortfarande ospårade och angriparens identitet okänd. DxSales nästa steg blir att stärka sin kontraktsverifieringsprocess och eventuellt införa ett tidslås eller krav på multisignatur för äldre pooler.
