Понад 1400 пулів ліквідності, пов'язаних із старими контрактами DxSale на BNB Chain, спустошено внаслідок експлойту на $7,3 млн, який вперше помітили 29 травня користувач на ім'я 'Tahax'. Зловмисник вивів кошти зі сховища DxSale — контракту, що зберігав LP токени проєктів, запущених роки тому, — та перемістив їх через AnySwap, щоб приховати сліди. Цей експлойт додався до жорстокого місяця для криптобезпеки, коли втрати накопичуються через мости та кредитні протоколи.
Як працював експлойт
Зловмисник використав гаманець 0xC457...FA69, нову адресу, поповнену з Bybit і, можливо, спрямовану через AnySwap, щоб отримати контроль над контрактом-сховищем DxSale. Цей контракт був неверифікованим і, ймовірно, містив бекдор, яким скористався зловмисник, щоб спустошити LP токени протягом кількох годин. Звідти 2 958 BNB ($1,87 млн) було переведено на два основні гаманці, а потім через депозитні адреси на Binance.
Тиха зміна власника
Майже дев'ять місяців тому розгортувач DxSale передав право власності на сховище новому гаманцю — без публічного оголошення чи повідомлення про міграцію. Старі контракти лежали без діла роками, що робило їх легкою мішенню. DxSale, платформа-лаунчпад, не зробила жодної заяви про експлойт після його виявлення.
Частина жорстокого травня
Це не ізольований інцидент. Криптосектор втратив щонайменше $650 млн у квітні через подібні злами. Лише у травні відбувся експлойт мосту Verus на $11 млн, атака на TrustedVolumes на $5,9 млн та можливий інцидент з THORChain на $10 млн. Співзасновник OpenZeppelin Мануель Араоз заявив, що 'весь DeFi небезпечний', стверджуючи, що атакуючі з використанням ШІ знаходять вразливості швидше, ніж команди безпеки встигають їх виправляти. Сховище DxSale — старе, неверифіковане та тихо передане — вписується в цю похмуру закономірність.
DxSale досі не відповів на запити щодо коментарів. Контракт-сховище залишається невиправленим, а слід зловмисника через AnySwap означає, що кошти, ймовірно, втрачені назавжди.
