Децентралізована фінансова платформа DxSale втратила $7,3 мільйона після того, як зловмисник використав пули ліквідності, які були неактивні з 2021 року. Інцидент торкнувся приблизно 1400 пулів на BNBChain, кошти були виведені з токенів, які, ймовірно, були залишені їхніми творцями.
Як працював експлойт
Зловмисник націлився на пули, створені під час бичачого ринку 2021 року, багато з яких залишалися незайманими роками. Згідно з даними on-chain, експлойтер використав метод, який дозволив йому вивести заблоковану ліквідність із цих пулів. DxSale підтвердила злом у своїх соціальних мережах, повідомивши користувачам, що скомпрометовані пули були створені у 2021 році та не мали активного обсягу торгів.
Платформа закликала власників токенів і команди проектів відкликати схвалення для будь-яких контрактів, пов’язаних із цими пулами. Зловмиснику вдалося конвертувати вкрадені токени в BNB та інші активи, після чого він перемістив кошти через кілька гаманців, щоб заплутати сліди.
Вплив на користувачів і проекти
Для проектів, які створили ці пули три роки тому, втрати є повними — заблокована ліквідність, яка мала забезпечувати їхні токени, зникла. Багато з цих проектів, імовірно, вже неактивні або закинуті, але деякі могли залишатися діючими. DxSale повідомила, що співпрацює з фірмами з кібербезпеки та аналітиками блокчейну для відстеження коштів, але повернення виглядає малоймовірним через минулий час та анонімність зловмисника.
Сама платформа не є неплатоспроможною, але злом ставить під сумнів безпеку застарілих пулів ліквідності на децентралізованих біржах. DxSale призупинила створення нових пулів на BNBChain на час проведення повного аудиту своїх смарт-контрактів.
Ширші наслідки для DeFi
Цей інцидент підкреслює постійну вразливість у DeFi: закинуті або неконтрольовані пули ліквідності можуть стати бомбами сповільненої дії. Багато токенів, запущених під час ажіотажу 2021 року, мали заблоковану ліквідність на визначений період, але коли цей період закінчився, ніхто не видалив її або не оновив контракт. Зловмисник, який знає старий код контракту, іноді може знайти спосіб вивести кошти.
DxSale не перша платформа, яка постраждала від такого роду атак, і, ймовірно, не остання. Загальна вартість заблокованих коштів у пулах BNBChain з 2021 року невідома, але викрадені $7,3 мільйона становлять лише частину того, що все ще може бути вразливим.
Що DxSale робить далі
Команда вжила екстрених заходів, включаючи тимчасове заморожування створення всіх пулів та перевірку кожного активного контракту. Вони також попросили користувачів повідомляти про будь-яку підозрілу активність. Повний пост-мортем очікується протягом наступного тижня, який включатиме список адрес постраждалих пулів та план запобігання подібним експлойтам у майбутньому.
Наразі вкрадені кошти залишаються невідстеженими, а особа зловмисника невідома. Наступним кроком DxSale буде посилення процесу перевірки контрактів і, можливо, впровадження вимоги тимчасового блокування або мультипідпису для старих пулів.
