Експлойт, спрямований на спадковий локер ліквідності DxSale на BNB Chain, вивів $7,3 млн приблизно з 1 400 пулів ліквідності. Аналітики стверджують, що вразливості типу бекдор у контракті зробили атаку можливою.
Вразливість типу бекдор
Скомпрометована система була старішою версією локера ліквідності DxSale — інструменту, який блокує токени постачальників ліквідності, щоб запобігти виведенню коштів розробниками. Слідчі простежили злам до того, що вони назвали слабкими місцями бекдору — прихованими точками доступу, які дозволили зловмиснику обійти звичайні перевірки безпеки та вивести активи.
Компанії з блокчейн-безпеки, які моніторили інцидент, зазначили, що експлойт одночасно атакував кілька пулів. Зловмисник діяв швидко, виводячи токени з кожного пулу до того, як контракт можна було призупинити або виправити.
Вплив на пули ліквідності
Постраждалі 1 400 пулів представляють широкий спектр токен-проєктів, які покладалися на локер DxSale для захисту своєї ліквідності. Для багатьох із цих проєктів втрати є повними — викрадені кошти були заблокованою ліквідністю, що забезпечує торгівлю на децентралізованих біржах.
Користувачі цих пулів тепер залишилися з нікчемними позиціями. Деякі проєкти вже опублікували заяви, попереджаючи свої спільноти, що заблоковані токени зникли і відновлення малоймовірне.
DxSale не випускав публічних оновлень після експлойту. Команда компанії, ймовірно, працює над звітом про інцидент та виправленням вразливості. Але наразі немає термінів щодо компенсації чи відшкодування.
Цей експлойт нагадує, що старі смарт-контракти можуть стати бомбами уповільненої дії, оскільки екосистема DeFi розвивається. Аудитори та розробники закликають проєкти, які використовують спадкові локери, переходити на оновлені версії — до того, як наступний зловмисник знайде шлях.
