去中心化金融平台DxSale在攻击者利用自2021年以来一直处于休眠状态的流动性池后,损失了730万美元。该事件影响了BNBChain上约1400个池子,资金从那些可能已被创建者遗弃的代币中被抽走。
漏洞如何运作
攻击者瞄准了2021年牛市期间创建的池子,其中许多池子多年未被动用。根据链上数据,攻击者使用了一种允许其从这些池中提取锁定流动性的方法。DxSale在其社交媒体渠道上确认了此次入侵,并告知用户,被利用的池子均来自2021年,且没有活跃的交易量。
该平台敦促代币持有者和项目团队撤销对与这些池相关的任何合约的授权。攻击者将窃取的代币转换为BNB和其他资产,然后通过多个钱包转移资金以掩盖踪迹。
对用户和项目的影响
对于三年前创建这些池子的项目而言,损失是彻底的——本应支撑其代币的锁定流动性已不复存在。其中许多项目可能已停运或废弃,但少数可能仍在运营。DxSale表示正在与安全公司和区块链分析师合作追踪资金,但考虑到时间流逝和攻击者的匿名性,追回似乎不太可能。
平台本身并未资不抵债,但此次漏洞事件引发了关于去中心化交易所中闲置流动性池安全性的质疑。DxSale已暂停在BNBChain上创建新池,同时对其智能合约进行全面审计。
对DeFi的更广泛影响
这一事件凸显了DeFi中一个持续的漏洞:废弃或无人监控的流动性池可能成为定时炸弹。许多在2021年狂热期间推出的代币将其流动性锁定了一段时间,但当锁定期满后,没有人移除它或更新合约。了解旧合约代码的攻击者有时可以找到提取资金的方法。
DxSale并非首个遭受此类攻击的平台,很可能也不会是最后一个。BNBChain上2021年池子的总锁定价值未知,但被盗的730万美元仅代表可能仍然脆弱的部分资金。
DxSale下一步行动
该团队已实施紧急措施,包括暂时冻结所有池子创建,并审查每一个活跃合约。他们还要求用户报告任何可疑活动。预计未来一周内将发布完整的事后分析报告,其中包括受影响的池子地址列表以及防止类似漏洞的计划。
目前,被盗资金仍未被追踪到,攻击者的身份也未知。DxSale的下一步将是加强其合约验证流程,并可能为较旧的池子引入时间锁或多重签名要求。
