กลุ่มสภาพคล่องกว่า 1,400 รายการที่เชื่อมโยงกับสัญญา DxSale เก่าบน BNB Chain ถูกดูดเงินไป 7.3 ล้านดอลลาร์สหรัฐ ในการโจมตีที่ผู้ใช้ชื่อ 'Tahax' ตรวจพบครั้งแรกเมื่อวันที่ 29 พฤษภาคม ผู้โจมตีดึงเงินจาก locker ของ DxSale ซึ่งเป็นสัญญาที่ถือโทเค็น LP จากโปรเจกต์ที่เปิดตัวเมื่อหลายปีก่อน และย้ายเงินผ่าน AnySwap เพื่อปิดบังเส้นทาง การโจมตีนี้เพิ่มเข้าไปในเดือนที่โหดร้ายสำหรับความปลอดภัยของคริปโต ที่มีการสูญเสียสะสมผ่านบริดจ์และโปรโตคอลการให้กู้ยืม
วิธีการโจมตี
ผู้โจมตีใช้กระเป๋าเงิน 0xC457...FA69 ซึ่งเป็นที่อยู่ใหม่ที่ได้รับเงินจาก Bybit และอาจถูกส่งผ่าน AnySwap เพื่อเข้าควบคุมสัญญา locker ของ DxSale สัญญานั้นไม่ได้รับการตรวจสอบและน่าจะมีช่องโหว่ backdoor ซึ่งผู้โจมตีใช้ประโยชน์ในการดูดโทเค็น LP ภายในไม่กี่ชั่วโมง จากนั้น BNB จำนวน 2,958 (มูลค่า 1.87 ล้านดอลลาร์) ถูกโอนไปยังกระเป๋าเงินหลักสองใบ ก่อนจะถูกย้ายผ่านที่อยู่ฝากเงินบน Binance
การเปลี่ยนเจ้าของอย่างเงียบๆ
เมื่อเกือบเก้าเดือนที่แล้ว ผู้ deployer ของ DxSale ได้โอนความเป็นเจ้าของ locker ไปยังกระเป๋าเงินใหม่ โดยไม่มีการประกาศหรือแจ้งเตือนการย้ายสัญญา สัญญาเก่าเหล่านี้ไม่ได้ถูกแตะต้องมานานหลายปี ทำให้พวกมันเป็นเป้าหมายที่สมบูรณ์ DxSale ซึ่งเป็นแพลตฟอร์ม launchpad ยังไม่ได้ออกแถลงการณ์ใดๆ เกี่ยวกับการโจมตีนี้ตั้งแต่ถูกตรวจพบ
ส่วนหนึ่งของเดือนพฤษภาคมที่โหดร้าย
เหตุการณ์นี้ไม่ใช่เหตุการณ์ที่เกิดขึ้นโดดเดี่ยว ภาคส่วนคริปโตสูญเสียเงินอย่างน้อย 650 ล้านดอลลาร์ในเดือนเมษายนจากการโจมตีที่คล้ายคลึงกัน ในเดือนพฤษภาคมเพียงเดือนเดียว มีการโจมตีบริดจ์ Verus มูลค่า 11 ล้านดอลลาร์, การโจมตี TrustedVolumes มูลค่า 5.9 ล้านดอลลาร์ และเหตุการณ์ THORChain ที่อาจมีมูลค่า 10 ล้านดอลลาร์ Manuel Aráoz ผู้ร่วมก่อตั้ง OpenZeppelin ประกาศว่า 'DeFi ทั้งหมดไม่ปลอดภัย' โดยโต้แย้งว่าผู้โจมตีที่ใช้ AI ช่วยในการหาช่องโหว่ได้เร็วกว่าทีมรักษาความปลอดภัยจะแก้ไขได้ locker ของ DxSale ซึ่งเก่า ไม่ได้รับการตรวจสอบ และถูกโอนอย่างเงียบๆ สอดคล้องกับรูปแบบที่น่ากลัวนั้น
DxSale ยังไม่ได้ตอบสนองต่อคำขอให้แสดงความคิดเห็น สัญญา locker ยังไม่ได้รับการแก้ไข และเส้นทางของผู้โจมตีผ่าน AnySwap หมายความว่าเงินมีแนวโน้มที่จะสูญหายไปตลอดกาล
