Một nền tảng tài chính phi tập trung, DxSale, đã bị rút mất 7,3 triệu USD sau khi kẻ tấn công khai thác các pool thanh khoản không hoạt động từ năm 2021. Sự cố ảnh hưởng đến khoảng 1.400 pool trên BNBChain, với số tiền bị rút từ các token có khả năng đã bị người tạo ra chúng bỏ rơi.
Cách thức vụ khai thác hoạt động
Kẻ tấn công nhắm vào các pool được tạo ra trong đợt tăng giá năm 2021, nhiều pool trong số đó đã không được chạm đến trong nhiều năm. Theo dữ liệu on-chain, kẻ khai thác đã sử dụng một phương pháp cho phép chúng rút thanh khoản đã khóa từ các pool này. DxSale xác nhận vụ vi phạm trên các kênh truyền thông xã hội của mình, thông báo rằng các pool bị khai thác đều từ năm 2021 và không có khối lượng giao dịch hoạt động.
Nền tảng kêu gọi người nắm giữ token và các nhóm dự án thu hồi phê duyệt cho bất kỳ hợp đồng nào liên quan đến các pool đó. Kẻ tấn công đã chuyển đổi các token bị đánh cắp thành BNB và các tài sản khác, sau đó di chuyển số tiền qua nhiều ví để làm xáo trộn dấu vết.
Tác động đến người dùng và dự án
Đối với các dự án đã tạo ra các pool đó ba năm trước, tổn thất là hoàn toàn — thanh khoản đã khóa vốn dĩ nhằm hỗ trợ token của họ đã biến mất. Nhiều dự án trong số đó nhiều khả năng đã ngừng hoạt động hoặc bị bỏ rơi, nhưng một số ít có thể vẫn còn hoạt động. DxSale cho biết đang làm việc với các công ty bảo mật và nhà phân tích blockchain để theo dõi số tiền, nhưng việc thu hồi có vẻ khó khăn do thời gian trôi qua và tính ẩn danh của kẻ tấn công.
Bản thân nền tảng không bị mất khả năng thanh toán, nhưng vụ vi phạm đặt ra câu hỏi về bảo mật của các pool thanh khoản cũ trên các sàn giao dịch phi tập trung. DxSale đã tạm dừng tạo pool mới trên BNBChain trong khi tiến hành kiểm toán toàn bộ các hợp đồng thông minh của mình.
Hàm ý rộng hơn cho DeFi
Sự cố này làm nổi bật một lỗ hổng dai dẳng trong DeFi: các pool thanh khoản bị bỏ rơi hoặc không được giám sát có thể trở thành quả bom hẹn giờ. Nhiều token ra mắt trong cơn sốt năm 2021 đã khóa thanh khoản trong một khoảng thời gian nhất định, nhưng khi thời hạn đó hết, không ai gỡ bỏ hoặc cập nhật hợp đồng. Một kẻ tấn công có kiến thức về mã hợp đồng cũ đôi khi có thể tìm cách rút số tiền.
DxSale không phải là nền tảng đầu tiên hứng chịu kiểu tấn công này, và có lẽ cũng không phải là cuối cùng. Tổng giá trị bị khóa trong các pool BNBChain từ năm 2021 vẫn chưa được biết, nhưng 7,3 triệu USD bị lấy đi chỉ là một phần nhỏ trong số có thể vẫn còn dễ bị tổn thương.
DxSale sẽ làm gì tiếp theo
Nhóm đã thực hiện các biện pháp khẩn cấp, bao gồm tạm đóng băng tất cả việc tạo pool và xem xét từng hợp đồng đang hoạt động. Họ cũng yêu cầu người dùng báo cáo bất kỳ hoạt động đáng ngờ nào. Một báo cáo hậu kiểm đầy đủ dự kiến sẽ được công bố trong tuần tới, bao gồm danh sách các địa chỉ pool bị ảnh hưởng và kế hoạch ngăn chặn các vụ khai thác tương tự.
Hiện tại, số tiền bị đánh cắp vẫn chưa được xác định, và danh tính kẻ tấn công vẫn chưa rõ. Bước đi tiếp theo của DxSale sẽ là tăng cường quy trình xác minh hợp đồng và có thể giới thiệu yêu cầu khóa thời gian hoặc multisig cho các pool cũ.
