Angreb på DxSale: Tab på $7,3 millioner
DxSale har lidt et tab på $7,3 millioner efter, at en angriber angiveligt udnyttede en skjult bagdør i en likviditetslåserkontrakt til at trække BNB, der var låst af mere end 1.400 likviditetsudbydere på BNB Chain. Ifølge blockchain-sikkerhedsfirmaet PeckShield flyttede den angriber-kontrollerede adresse “0xC457” cirka $1,87 millioner værd af BNB til to primære tegnebøger, før midlerne blev sendt til flere indbetalingsadresser tilknyttet Binance.
Baggrund for hændelsen
Hændelsen påvirkede likviditet, der havde været låst i DxSale-kontrakter siden platformen blev bredt brugt til tokenlanceringer på BNB Chain i 2021. Tidlige fund fra blockchain-analytiker Tahax tyder på, at udnyttelsen kan være opstået fra en ændring af kontraktens ejerskab, der fandt sted måneder før angrebet. “Her er, hvordan udnyttelsen udfoldede sig. For 269 dage siden overførte DxSale-udvikleren stille ejerskabet af låseren til en ny tegnebog… Ingen meddelelse, ingen migrationsnotits, bare en stille overdragelse.”
Detaljer om udnyttelsen
“BREAKING: Lige drænet ~$7,3 millioner fra OG LPs. DxSale kørte den største likviditetslåser i 2021. Hundredvis af millioner var låst her, selv $SAFEMOON var en del af det. Teamet blander nu midlerne gennem, hvad der ser ud til at være, og midlerne er nu umulige at spore.”
Ved at spore ejerskabshistorikken yderligere sagde Tahax, at mere end 80 yderligere transaktioner blev brugt til at overføre kontrol mellem tegnebøger, før det til sidst nåede adressen identificeret som “0xC45”, som senere udførte de store BNB-udtræk. Analytikeren bemærkede også, at udnytter-tegnebogen var nyoprettet og oprindeligt finansieret gennem kryptobørsen Bybit.
Analyse af sikkerhedshændelsen
Yderligere analyse fra Web3-sikkerhedsfirmaet Coinsult knyttede udnyttelsen til en privilegeret kontraktfunktion og en manipuleret låseperiode. Ifølge Coinsult tillod kombinationen, at midler, der skulle forblive låst, blev behandlet som tilgængelige saldi. Om den DxSale-låser ‘bagdør’, har vi analyseret den on-chain. Her er vores vurdering: Drainer: 0xc2efbd94…01e4718, uverificeret, solc 0.8.33, implementeret ~9 timer siden af 0xC4574DD…aaFA69. Den hardcoder offerlåseren som en uforanderlig + WBNB til routing og låser hver funktion…
Sikkerhedsfirmaet sagde, at en privilegeret “setFee” mekanisme, kombineret med en tilbageholdt lånekonfiguration, gjorde det muligt at udføre gentagne udtrækningshandlinger, der i sidste ende drænede BNB-reserverne. Tahax hævdede separat, at en bagdør var blevet efterladt i udviklerkontrakten, hvilket skabte betingelser for udnyttelsen.
Konsekvenser og fremtidige bekymringer
Den seneste brud kommer, mens decentraliserede finansieringsplatforme fortsat står over for sikkerhedshændelser på tværs af flere netværk. Data fra DefiLlama viser, at DeFi-protokoller har mistet omkring $52 millioner til udnyttelser indtil videre i maj, efter cirka $634 millioner i tab registreret i april, det højeste månedlige beløb siden februar 2025.
Sikkerhedsbekymringer intensiveredes i denne uge, efter at Stake DAO afslørede en udnyttelse, der involverede dens stemme-forstærkede sdCRV-token på Arbitrum. Blockchain-sikkerhedsselskabet Blockaid rapporterede, at en angriber prægte mere end 5,4 trillioner vsdCRV-tokens og begyndte at bytte dem til ETH, mens Stake DAO opfordrede brugere til ikke at interagere med aktivet, mens efterforskere sporede transaktioner på tværs af Arbitrum og Ethereum.
Andre steder rapporterede Wasabi Protocol om tab, der oversteg $5 millioner, efter at en kompromitteret administrativ nøgle tillod angribere at opgradere kontrakter og dræne midler på tværs af Ethereum, Base, Berachain og Blast.
Midt i den seneste række hændelser advarede OpenZeppelin medstifter Manuel Aráoz om, at fremskridt inden for AI-assisteret sårbarhedsdiskovering gør angreb lettere at udføre. I kommentarer citeret tidligere af crypto.news sagde Aráoz, at han nu betragter “hele DeFi” som usikker, fordi angribere i stigende grad har adgang til kraftfulde værktøjer, der kan identificere softwarefejl, før udviklerne kan rette dem.
Ifølge DefiLlama har kryptoudnyttelser resulteret i mere end $17 milliarder i kumulative tab, herunder cirka $7,8 milliarder stjålet fra DeFi-protokoller alene.
