DxSale สูญเสีย $7.3 ล้านจากการโจมตีพูล BNBChain ที่สร้างในปี 2021

แพลตฟอร์มการเงินแบบกระจายอำนาจ (DeFi) DxSale ถูกขโมยเงินไป $7.3 ล้าน หลังจากผู้โจมตีใช้ประโยชน์จากสภาพคล่องพูล (liquidity pools) ที่ไม่ได้ใช้งานมาตั้งแต่ปี 2021 เหตุการณ์นี้ส่งผลกระทบต่อพูลประมาณ 1,400 พูลบน BNBChain โดยเงินถูกถอนจากโทเคนที่ดูเหมือนจะถูกทิ้งร้างโดยผู้สร้าง

วิธีการทำงานของการโจมตี

ผู้โจมตีมุ่งเป้าไปที่พูลที่สร้างขึ้นในช่วงตลาดกระทิง (bull run) ปี 2021 ซึ่งหลายพูลไม่ได้ถูกแตะต้องเป็นเวลาหลายปี ตามข้อมูลบนเชน ผู้โจมตีใช้วิธีการที่ทำให้สามารถถอนสภาพคล่องที่ถูกล็อกออกจากพูลเหล่านี้ได้ DxSale ยืนยันการละเมิดบนช่องทางโซเชียลมีเดีย โดยแจ้งผู้ใช้ว่าพูลที่ถูกโจมตีทั้งหมดมาจากปี 2021 และไม่มีปริมาณการซื้อขายที่เคลื่อนไหว

แพลตฟอร์มเรียกร้องให้ผู้ถือโทเคนและทีมโครงการเพิกถอนการอนุมัติ (revoke approvals) สำหรับสัญญาใดๆ ที่เกี่ยวข้องกับพูลเหล่านั้น ผู้โจมตีสามารถแปลงโทเคนที่ถูกขโมยเป็น BNB และสินทรัพย์อื่นๆ แล้วโอนเงินผ่านกระเป๋าหลายใบเพื่อปิดบังเส้นทาง

ผลกระทบต่อผู้ใช้และโครงการ

สำหรับโครงการที่สร้างพูลเหล่านี้เมื่อสามปีก่อน การสูญเสียคือทั้งหมด — สภาพคล่องที่ถูกล็อกซึ่งควรจะหนุนหลังโทเคนของพวกเขาหายไปแล้ว โครงการเหล่านั้นส่วนใหญ่คงจะปิดตัวหรือถูกทิ้งร้าง แต่บางทีอาจยังมีบางโครงการที่ยังดำเนินการอยู่ DxSale กล่าวว่ากำลังทำงานร่วมกับบริษัทรักษาความปลอดภัยและนักวิเคราะห์บล็อคเชนเพื่อติดตามเงิน แต่การกู้คืนดูไม่น่าจะเป็นไปได้เนื่องจากเวลาที่ผ่านไปและตัวตนที่ไม่เปิดเผยของผู้โจมตี

ตัวแพลตฟอร์มเองไม่ได้ล้มละลาย แต่การละเมิดนี้ทำให้เกิดคำถามเกี่ยวกับความปลอดภัยของสภาพคล่องพูลที่หยุดนิ่งบน exchange แบบกระจายอำนาจ DxSale ได้หยุดการสร้างพูลใหม่บน BNBChain ชั่วคราวระหว่างดำเนินการตรวจสอบสัญญาอัจฉริยะ (smart contracts) อย่างละเอียด

ผลกระทบในวงกว้างต่อ DeFi

เหตุการณ์นี้ชี้ให้เห็นถึงช่องโหว่ที่คงอยู่ของ DeFi: สภาพคล่องพูลที่ถูกทิ้งร้างหรือไม่ได้รับการตรวจสอบสามารถกลายเป็นระเบิดเวลาได้ โทเคนหลายตัวที่เปิดตัวในช่วง frenzy ปี 2021 มีสภาพคล่องถูกล็อกเป็นระยะเวลาหนึ่ง แต่เมื่อระยะเวลาสิ้นสุดลง ไม่มีใครเอาออกหรืออัปเดตสัญญา ผู้โจมตีที่มีความรู้เกี่ยวกับโค้ดสัญญาเก่าสามารถหาวิธีดึงเงินออกมาได้

DxSale ไม่ใช่แพลตฟอร์มแรกที่ประสบกับการโจมตีลักษณะนี้ และคงไม่ใช่แพลตฟอร์มสุดท้าย มูลค่ารวมที่ล็อกอยู่ในพูล BNBChain จากปี 2021 ยังไม่ทราบแน่ชัด แต่เงิน $7.3 ล้านที่ถูกขโมยไปเป็นเพียงเศษเสี้ยวของสิ่งที่อาจยังคงเสี่ยง

สิ่งที่ DxSale จะทำต่อไป

ทีมงานได้ดำเนินมาตรการฉุกเฉิน รวมถึงการหยุดการสร้างพูลทั้งหมดชั่วคราว และการตรวจสอบทุกสัญญาที่ทำงานอยู่ พวกเขายังขอให้ผู้ใช้รายงานกิจกรรมที่น่าสงสัย คาดว่าจะมีการเผยแพร่รายงานสรุปเหตุการณ์ (post-mortem) ฉบับสมบูรณ์ภายในสัปดาห์หน้า ซึ่งรวมถึงรายการที่อยู่พูลที่ได้รับผลกระทบและแผนป้องกันการโจมตีที่คล้ายกันในอนาคต

ในตอนนี้ เงินที่ถูกขโมยยังไม่สามารถติดตามได้ และตัวตนของผู้โจมตียังไม่ทราบ ขั้นตอนถัดไปของ DxSale คือการเสริมกระบวนการตรวจสอบสัญญา และอาจเพิ่มข้อกำหนด time-lock หรือ multisig สำหรับพูลที่เก่า