Một vụ khai thác nhắm vào khoá thanh khoản kế thừa của DxSale trên BNB Chain đã rút 7,3 triệu USD từ khoảng 1.400 pool thanh khoản. Các nhà phân tích cho biết lỗ hổng cửa sau trong hợp đồng đã tạo điều kiện cho cuộc tấn công.
Lỗ hổng cửa sau
Hệ thống bị xâm phạm là phiên bản cũ hơn của khoá thanh khoản DxSale, một công cụ khóa token nhà cung cấp thanh khoản để ngăn nhà phát triển rút tiền. Các nhà điều tra đã truy vết việc xâm nhập đến những gì họ mô tả là điểm yếu cửa sau — các điểm truy cập ẩn cho phép kẻ tấn công vượt qua kiểm tra bảo mật thông thường và hút tài sản.
Các công ty bảo mật blockchain giám sát sự cố lưu ý rằng vụ khai thác nhắm vào nhiều pool cùng một lúc. Kẻ tấn công di chuyển nhanh chóng, rút token từ mỗi pool trước khi hợp đồng có thể bị tạm dừng hoặc vá.
Tác động đến các pool thanh khoản
1.400 pool bị ảnh hưởng đại diện cho nhiều dự án token dựa vào khoá thanh khoản của DxSale để bảo vệ thanh khoản của họ. Đối với nhiều dự án trong số đó, tổn thất là toàn bộ — số tiền bị đánh cắp là thanh khoản bị khóa làm nền tảng cho giao dịch trên các sàn giao dịch phi tập trung.
Người dùng của các pool đó hiện đang có các vị thế vô giá trị. Một số dự án đã đưa ra tuyên bố cảnh báo cộng đồng của họ rằng các token bị khóa đã biến mất và khả năng thu hồi là khó xảy ra.
DxSale chưa đưa ra cập nhật công khai kể từ vụ khai thác. Đội ngũ của công ty được cho là đang làm việc trên báo cáo sự cố và bản sửa lỗi cho lỗ hổng. Nhưng hiện tại, không có thời gian biểu cho việc bồi thường hoặc khắc phục.
Vụ khai thác là một lời nhắc nhở rằng các hợp đồng thông minh cũ hơn có thể trở thành quả bom hẹn giờ khi hệ sinh thái DeFi phát triển. Các kiểm toán viên và nhà phát triển đang kêu gọi các dự án sử dụng khoá thanh khoản kế thừa chuyển sang các phiên bản cập nhật — trước khi kẻ tấn công tiếp theo tìm thấy cánh cửa.
