DxSaleの流動性ロッカー契約におけるセキュリティ侵害
DxSaleは、攻撃者が流動性ロッカー契約の隠されたバックドアを利用し、BNB Chain上で1,400以上の流動性提供者によってロックされたBNBを引き出した結果、730万ドルの損失を被りました。
攻撃の詳細
ブロックチェーンセキュリティ企業のPeckShieldによると、攻撃者が制御するアドレス「0xC457」は、約187万ドル相当のBNBを2つの主要なウォレットに移動させた後、資金をBinanceに関連する複数の入金アドレスに送信しました。この事件は、2021年にBNB Chainでのトークンローンチに広く使用されていたDxSale契約にロックされていた流動性に影響を与えました。
「エクスプロイトがどのように展開されたか。269日前、DxSaleのデプロイヤーはロッカーの所有権を新しいウォレットに静かに移転しました…発表もなく、移行通知もなく、ただの静かな引き渡しです。」
資金の追跡と影響
緊急速報:OG LPから約730万ドルが流出しました。DxSaleは2021年に最大の流動性ロッカーを運営しており、数億ドルがその中にありました。$SAFEMOONもここにロックされていました。チームは現在、資金を混合しており、資金は現在追跡不可能です。
所有権の履歴をさらに追跡したTahaxは、制御がウォレット間で移動するために80以上の追加取引が使用されたと述べ、最終的に「0xC45」として特定されたアドレスに到達し、そこで大規模なBNBの引き出しが実行されました。
セキュリティの脆弱性と今後の懸念
アナリストはまた、エクスプロイターのウォレットが新たに作成され、最初は暗号交換のBybitを通じて資金が供給されたことを指摘しました。Web3セキュリティ企業Coinsultの追加分析は、エクスプロイトを特権契約機能および操作されたロック期間に関連付けました。この組み合わせにより、ロックされるべき資金が引き出し可能な残高として扱われることが可能になりました。
最近の侵害は、分散型金融プラットフォームが複数のネットワークでセキュリティインシデントに直面し続けている中で発生しました。DefiLlamaのデータによると、DeFiプロトコルは5月にこれまでに約5200万ドルをエクスプロイトで失い、4月には約6億3400万ドルの損失が記録され、2025年2月以来の最高月間総額となりました。
OpenZeppelinの共同創設者Manuel Aráozは、AI支援の脆弱性発見の進展が攻撃を実行しやすくしていると警告しました。彼は、攻撃者が開発者がパッチを当てる前にソフトウェアの弱点を特定できる強力なツールにますますアクセスできるため、「DeFi全体」を安全でないと考えるようになったと述べました。
DefiLlamaによると、暗号エクスプロイトは、DeFiプロトコルから盗まれた約78億ドルを含む170億ドル以上の累積損失をもたらしています。
