Hơn 1.400 pool thanh khoản liên quan đến các hợp đồng DxSale cũ trên BNB Chain đã bị rút cạn trong một vụ khai thác trị giá 7,3 triệu USD, lần đầu tiên được người dùng có tên 'Tahax' phát hiện vào ngày 29 tháng 5. Kẻ tấn công đã rút tiền từ locker của DxSale — một hợp đồng nắm giữ token LP từ các dự án ra mắt từ nhiều năm trước — và chuyển chúng qua AnySwap để làm mờ dấu vết. Vụ khai thác này làm gia tăng tháng khắc nghiệt đối với an ninh tiền điện tử, với các khoản lỗ chồng chất qua các cầu nối và giao thức cho vay.
Cách thức vụ khai thác diễn ra
Kẻ tấn công đã sử dụng ví 0xC457...FA69, một địa chỉ mới được nạp tiền từ Bybit và có thể được chuyển qua AnySwap, để giành quyền sở hữu hợp đồng locker của DxSale. Hợp đồng đó chưa được xác minh và có khả năng chứa một backdoor, mà kẻ tấn công đã khai thác để rút sạch token LP trong vòng vài giờ. Từ đó, 2.958 BNB (1,87 triệu USD) đã được chuyển vào hai ví chính, sau đó được chuyển qua các địa chỉ gửi tiền trên Binance.
Sự thay đổi quyền sở hữu thầm lặng
Gần chín tháng trước, người triển khai DxSale đã chuyển quyền sở hữu locker sang một ví mới — mà không có thông báo công khai hay thông báo di chuyển nào. Các hợp đồng cũ đã không được động đến trong nhiều năm, khiến chúng trở thành mục tiêu hấp dẫn. DxSale, một nền tảng khởi chạy dự án, vẫn chưa đưa ra bất kỳ tuyên bố nào về vụ khai thác kể từ khi nó được phát hiện.
Một phần trong tháng 5 khắc nghiệt
Đây không phải là sự cố cá biệt. Lĩnh vực tiền điện tử đã mất ít nhất 650 triệu USD trong tháng 4 từ các vụ hack tương tự. Riêng tháng 5 đã chứng kiến một vụ khai thác cầu nối Verus trị giá 11 triệu USD, một cuộc tấn công 5,9 triệu USD vào TrustedVolumes, và một sự cố THORChain có thể lên tới 10 triệu USD. Đồng sáng lập OpenZeppelin, Manuel Aráoz, tuyên bố 'toàn bộ DeFi không an toàn', lập luận rằng những kẻ tấn công hỗ trợ AI đang tìm ra lỗ hổng nhanh hơn các đội bảo mật có thể vá chúng. Locker DxSale — cũ, chưa được xác minh và được chuyển giao trong im lặng — phù hợp với mô hình ảm đạm đó.
DxSale vẫn chưa phản hồi các yêu cầu bình luận. Hợp đồng locker vẫn chưa được vá, và dấu vết của kẻ tấn công qua AnySwap đồng nghĩa với việc số tiền nhiều khả năng đã mất vĩnh viễn.
