Eksploitasi DxSale Senilai $7,3 Juta
DxSale mengalami eksploitasi sebesar $7,3 juta setelah seorang penyerang diduga memanfaatkan pintu belakang tersembunyi dalam kontrak pengunci likuiditas untuk menarik BNB yang terkunci oleh lebih dari 1.400 penyedia likuiditas di BNB Chain. Menurut perusahaan keamanan blockchain, PeckShield, alamat yang dikendalikan oleh penyerang, “0xC457”, memindahkan sekitar $1,87 juta dalam bentuk BNB ke dua dompet utama sebelum mengirimkan dana tersebut ke beberapa alamat deposit yang terkait dengan Binance.
Dampak Insiden
Insiden ini berdampak pada likuiditas yang telah terkunci dalam kontrak DxSale sejak platform ini banyak digunakan untuk peluncuran token di BNB Chain pada tahun 2021. Temuan awal dari analis blockchain, Tahax, menunjukkan bahwa eksploitasi ini mungkin berasal dari perubahan kepemilikan kontrak yang terjadi beberapa bulan sebelum serangan. “Inilah bagaimana eksploitasi ini terjadi. 269 hari yang lalu, penyebar DxSale secara diam-diam mentransfer kepemilikan pengunci ke dompet baru… Tanpa pengumuman, tanpa pemberitahuan migrasi, hanya serah terima yang diam-diam.”
BREAKING: Baru saja menguras sekitar $7,3 juta dari penyedia likuiditas awal DxSale yang menjalankan pengunci likuiditas terbesar pada tahun 2021. Ratusan juta berada di dalamnya, bahkan $SAFEMOON terkunci di sini. Tim sekarang mencampur dana melalui apa yang tampak seperti dan dana tersebut sekarang tidak dapat dilacak.
Analisis dan Temuan
Menelusuri sejarah kepemilikan lebih lanjut, Tahax mencatat bahwa lebih dari 80 transaksi tambahan digunakan untuk mengalihkan kontrol antara dompet sebelum akhirnya mencapai alamat yang diidentifikasi sebagai “0xC45”, yang kemudian mengeksekusi penarikan BNB dalam skala besar. Analis juga mencatat bahwa dompet penyerang baru dibuat dan awalnya didanai melalui bursa kripto Bybit.
Analisis tambahan dari perusahaan keamanan Web3, Coinsult, mengaitkan eksploitasi ini dengan fungsi kontrak yang memiliki hak istimewa dan periode penguncian yang dimanipulasi. Menurut Coinsult, kombinasi ini memungkinkan dana yang seharusnya tetap terkunci diperlakukan sebagai saldo yang dapat ditarik.
Pintu Belakang dan Keamanan
Tentang pengunci DxSale dan ‘pintu belakang’ tersebut, kami telah menganalisisnya di rantai. Berikut adalah pandangan kami: Penguras: 0xc2efbd94…01e4718, tidak terverifikasi, solc 0.8.33, dikerahkan sekitar 9 jam yang lalu oleh 0xC4574DD…aaFA69. Ini mengkode keras pengunci korban sebagai tidak dapat diubah + WBNB untuk routing, dan mengatur setiap fungsi… Perusahaan keamanan mengatakan mekanisme “setFee” yang memiliki hak istimewa, dikombinasikan dengan konfigurasi penguncian yang ditetapkan mundur, memungkinkan tindakan penarikan berulang yang pada akhirnya menguras cadangan BNB.
Tahax secara terpisah mengklaim bahwa sebuah pintu belakang telah ditinggalkan dalam kontrak penyebar, menciptakan kondisi untuk eksploitasi. Pada saat penyelidik mengidentifikasi jalur serangan, beberapa dana yang dicuri telah bergerak melalui infrastruktur yang mungkin menyulitkan upaya pelacakan, menurut Tahax.
Tren Keamanan di DeFi
Pelanggaran terbaru ini muncul saat platform keuangan terdesentralisasi terus menghadapi insiden keamanan di berbagai jaringan. Data dari DefiLlama menunjukkan bahwa protokol DeFi telah kehilangan sekitar $52 juta akibat eksploitasi sejauh ini di bulan Mei, setelah sekitar $634 juta dalam kerugian yang tercatat selama bulan April, total bulanan tertinggi sejak Februari 2025.
Kekhawatiran keamanan meningkat minggu ini setelah Stake DAO mengungkapkan eksploitasi yang melibatkan token sdCRV yang ditingkatkan suaranya di Arbitrum. Perusahaan keamanan blockchain Blockaid melaporkan bahwa seorang penyerang mencetak lebih dari 5,4 triliun token vsdCRV dan mulai menukarnya dengan ETH, sementara Stake DAO mendesak pengguna untuk tidak berinteraksi dengan aset tersebut saat penyelidik melacak transaksi di Arbitrum dan Ethereum.
Di tempat lain, Wasabi Protocol melaporkan kerugian melebihi $5 juta setelah kunci administratif yang dikompromikan memungkinkan penyerang untuk meningkatkan kontrak dan menguras dana di Ethereum, Base, Berachain, dan Blast.
Di tengah serangkaian insiden terbaru, salah satu pendiri OpenZeppelin, Manuel Aráoz, memperingatkan bahwa kemajuan dalam penemuan kerentanan yang dibantu AI membuat serangan lebih mudah dilakukan. Dalam komentar yang dikutip sebelumnya oleh crypto.news, Aráoz mengatakan bahwa ia sekarang menganggap “semua DeFi” tidak aman karena penyerang semakin memiliki akses ke alat yang kuat yang dapat mengidentifikasi kelemahan perangkat lunak sebelum pengembang dapat memperbaikinya.
Menurut DefiLlama, eksploitasi kripto telah mengakibatkan lebih dari $17 miliar dalam kerugian kumulatif, termasuk sekitar $7,8 miliar yang dicuri dari protokol DeFi saja.
