BNB链上逾1400个与旧版DxSale合约关联的流动性池在5月29日被一名名为“Tahax”的用户首次发现的攻击中遭到洗劫,损失达730万美元。攻击者从DxSale的锁仓合约中抽走资金——该合约持有数年前启动的项目提供的LP代币——并通过AnySwap转移资金以掩盖踪迹。此次攻击加剧了本已惨淡的加密货币安全形势,跨链桥和借贷协议中的损失接连攀升。
攻击如何实施
攻击者使用钱包地址0xC457...FA69(一个从Bybit充资并可能经AnySwap路由的新地址)获取了DxSale锁仓合约的所有权。该合约未经审计,且可能含有后门,攻击者利用后门在数小时内抽干了LP代币。随后,2958枚BNB(约187万美元)被转入两个主要钱包,再通过币安的存款地址转移。
悄无声息的所有权变更
大约九个月前,DxSale部署者将锁仓合约的所有权转移至一个新钱包——未发布任何公开公告或迁移通知。这些旧合约多年未被使用,成为唾手可得的目标。作为启动平台,DxSale自攻击被发现以来尚未发表任何声明。
惨淡五月的一部分
这并非孤立事件。加密货币领域在4月因类似攻击至少损失了6.5亿美元。仅五月就发生了Verus桥攻击(损失1100万美元)、TrustedVolumes遭袭(损失590万美元)以及THORChain疑似事件(可能损失1000万美元)。OpenZeppelin联合创始人Manuel Aráoz宣称“所有DeFi都不安全”,认为AI辅助的攻击者发现漏洞的速度快于安全团队修复的速度。DxSale的锁仓合约——老旧、未经审计且被悄然转移——正符合这一严峻模式。
DxSale尚未回应置评请求。锁仓合约仍未修复,攻击者通过AnySwap留下的踪迹意味着资金很可能已无法追回。
