Merkeziyetsiz bir finans platformu olan DxSale, 2021'den beri etkin olmayan likidite havuzlarını hedef alan bir saldırgan tarafından 7,3 milyon dolar kaybetti. Olay, BNBChain üzerindeki yaklaşık 1.400 havuzu etkiledi ve büyük olasılıkla yaratıcıları tarafından terk edilmiş tokenlerden fonlar çekildi.
Sömürü nasıl işledi
Saldırgan, 2021 boğa piyasası sırasında oluşturulan ve yıllardır dokunulmayan havuzları hedef aldı. Zincir üstü verilere göre, saldırgan bu havuzlardaki kilitli likiditeyi çekmelerine olanak tanıyan bir yöntem kullandı. DxSale, sosyal medya kanallarında ihlali doğrulayarak, sömürülen havuzların tamamının 2021'den olduğunu ve aktif işlem hacmi bulunmadığını bildirdi. Platform, token sahiplerine ve proje ekiplerine bu havuzlarla bağlantılı sözleşmeler için onayları iptal etmeleri çağrısında bulundu. Saldırgan, çalınan tokenleri BNB ve diğer varlıklara dönüştürmeyi başardı, ardından izi kaybettirmek için fonları birden fazla cüzdan arasında taşıdı.
Kullanıcılar ve projeler üzerindeki etki
Üç yıl önce bu havuzları oluşturan projeler için kayıp tam — tokenlerini desteklemesi amaçlanan kilitli likidite artık yok. Bu projelerin çoğu büyük olasılıkla iflas etmiş veya terk edilmişti, ancak birkaçı hala aktif olabilir. DxSale, fonları takip etmek için güvenlik firmaları ve blokzincir analistleriyle çalıştığını söyledi, ancak geçen zaman ve saldırganın anonimliği göz önüne alındığında geri kazanım olası görünmüyor. Platformun kendisi iflas etmiş değil, ancak ihlal, merkeziyetsiz borsalardaki atıl likidite havuzlarının güvenliğiyle ilgili soruları gündeme getiriyor. DxSale, akıllı sözleşmelerinin tam denetimini yaparken BNBChain'de yeni havuz oluşturmayı durdurdu.
DeFi için daha geniş etkiler
Bu olay, DeFi'de kalıcı bir güvenlik açığını vurguluyor: terk edilmiş veya izlenmeyen likidite havuzları, zamanlı bomba haline gelebilir. 2021 çılgınlığı sırasında piyasaya sürülen birçok tokenin likiditesi belirli bir süre kilitlenmişti, ancak bu süre dolduğunda hiç kimse onu kaldırmadı veya sözleşmeyi güncellemedi. Eski sözleşme kodunu bilen bir saldırgan, bazen fonları çekmenin bir yolunu bulabilir. DxSale, bu tür bir saldırıya uğrayan ilk platform değil ve muhtemelen son da olmayacak. BNBChain havuzlarındaki 2021'den kalma toplam kilitli değer bilinmiyor, ancak çalınan 7,3 milyon dolar, hâlâ savunmasız olabileceklerin yalnızca bir kısmını temsil ediyor.
DxSale'in bundan sonraki adımları
Ekip, tüm havuz oluşturmayı geçici olarak durdurma ve her aktif sözleşmenin gözden geçirilmesi dahil olmak üzere acil durum önlemleri uyguladı. Ayrıca kullanıcılardan şüpheli etkinlikleri bildirmelerini istediler. Bir sonraki hafta içinde, etkilenen havuz adreslerinin bir listesini ve benzer sömürüleri önlemek için bir planı içeren tam bir otopsi raporu bekleniyor. Şimdilik, çalınan fonlar izlenemiyor ve saldırganın kimliği bilinmiyor. DxSale'in bir sonraki hamlesi, sözleşme doğrulama sürecini güçlendirmek ve muhtemelen eski havuzlar için zaman kilidi veya çoklu imza gerekliliği getirmek olacak.
