BNB Chain üzerindeki eski DxSale sözleşmelerine bağlı 1.400'den fazla likidite havuzu, 29 Mayıs'ta 'Tahax' adlı bir kullanıcı tarafından ilk kez bildirilen 7,3 milyon dolarlık bir istismarla boşaltıldı. Saldırgan, yıllar önce başlatılan projelerden LP token'larını tutan bir sözleşme olan DxSale'nin kilidinden fonları çekti ve izi kaybetmek için bunları AnySwap üzerinden taşıdı. Bu istismar, köprüler ve borç verme protokollerinde kayıpların arttığı kripto güvenliği açısından acımasız bir aya ekleniyor.
İstismar nasıl işledi
Saldırgan, Bybit'ten finanse edilen ve muhtemelen AnySwap üzerinden yönlendirilen 0xC457...FA69 adresli yeni bir cüzdan kullanarak DxSale'nin kilit sözleşmesinin sahipliğini ele geçirdi. Bu sözleşme doğrulanmamıştı ve muhtemelen bir arka kapı içeriyordu; saldırgan bunu kullanarak LP token'larını saatler içinde boşalttı. Buradan, 2.958 BNB (1,87 milyon dolar) iki ana cüzdana aktarıldı, ardından Binance'deki para yatırma adresleri üzerinden taşındı.
Sessiz bir sahiplik değişikliği
Yaklaşık dokuz ay önce, DxSale dağıtıcısı kilidin sahipliğini herhangi bir kamu duyurusu veya geçiş bildirimi olmaksızın yeni bir cüzdana devretti. Eski sözleşmeler yıllarca dokunulmamıştı ve bu da onları olgun bir hedef haline getirdi. Bir başlatma rampası platformu olan DxSale, keşfedilmesinden bu yana istismar hakkında herhangi bir açıklama yapmadı.
Acımasız Mayıs ayının bir parçası
Bu münferit bir olay değil. Kripto sektörü Nisan ayında benzer saldırılardan en az 650 milyon dolar kaybetti. Mayıs ayı tek başına 11 milyon dolarlık bir Verus köprü istismarı, TrustedVolumes'a 5,9 milyon dolarlık bir saldırı ve olası bir 10 milyon dolarlık THORChain olayı gördü. OpenZeppelin kurucu ortağı Manuel Aráoz, 'tüm DeFi'nin güvensiz' olduğunu ilan ederek, yapay zeka destekli saldırganların güvenlik ekiplerinin yamalayabileceğinden daha hızlı güvenlik açıkları bulduğunu savundu. DxSale kilidi — eski, doğrulanmamış ve sessizce devredilmiş — bu kasvetli desene uyuyor.
DxSale henüz yorum taleplerine yanıt vermedi. Kilit sözleşmesi hala yamalanmamış durumda ve saldırganın AnySwap üzerindeki izi, fonların büyük olasılıkla tamamen kaybolduğu anlamına geliyor.
