Pag-atake sa DxSale
Ang DxSale ay nakaranas ng pag-atake na nagresulta sa $7.3 milyong pagkalugi matapos gamitin ng isang salarin ang isang nakatagong backdoor sa isang liquidity locker contract upang bawiin ang BNB na naka-lock ng higit sa 1,400 liquidity providers sa BNB Chain. Ayon sa blockchain security firm na PeckShield, ang address na kontrolado ng salarin na “0xC457” ay lumipat ng humigit-kumulang $1.87 milyong halaga ng BNB sa dalawang pangunahing wallet bago ipadala ang mga pondo sa maraming deposit address na nauugnay sa Binance. Ang insidente ay nakaapekto sa liquidity na nanatiling naka-lock sa mga kontrata ng DxSale mula nang ang platform ay malawakang ginamit para sa mga paglulunsad ng token noong 2021.
Mga Detalye ng Pag-atake
Ayon sa mga unang natuklasan mula sa blockchain analyst na si Tahax, ang pag-atake ay maaaring nag-ugat mula sa isang pagbabago sa pagmamay-ari ng kontrata na naganap ilang buwan bago ang insidente.
“Narito kung paano naganap ang pag-atake. 269 na araw na ang nakalipas, tahimik na inilipat ng DxSale deployer ang pagmamay-ari ng locker sa isang bagong wallet… Walang anunsyo, walang abiso sa migrasyon, isang tahimik na pagsasalin.”
Ang DxSale ay nagpapatakbo ng pinakamalaking liquidity locker ng 2021, kung saan daan-daang milyong dolyar ang naka-lock, kabilang ang $SAFEMOON. Sa kasalukuyan, ang koponan ay nagtatrabaho upang masubaybayan ang mga pondo, ngunit ang mga ito ay tila hindi na matutunton. Sa pagsubok na masubaybayan ang kasaysayan ng pagmamay-ari, sinabi ni Tahax na higit sa 80 karagdagang transaksyon ang ginamit upang ipasa ang kontrol sa pagitan ng mga wallet bago ito tuluyang umabot sa address na tinukoy bilang “0xC45”, na kalaunan ay nagsagawa ng malakihang pag-withdraw ng BNB. Napansin din ng analyst na ang exploiter wallet ay bagong nilikha at unang pinondohan sa pamamagitan ng crypto exchange na Bybit.
Analisis ng Seguridad
Ayon sa karagdagang pagsusuri mula sa Web3 security firm na Coinsult, ang pag-atake ay nag-ugat mula sa isang pribilehiyadong function ng kontrata at isang manipuladong lock period. Ang kumbinasyon na ito ay nagbigay-daan sa mga pondo na dapat ay mananatiling naka-lock na ituring na maaaring bawiin. Sinuri ng Coinsult ang DxSale locker ‘backdoor’ at sinabi na ang drainer ay hindi napatunayan, na may solc 0.8.33, na-deploy mga 9 na oras na ang nakalipas ng 0xC4574DD…aaFA69. Ang pribilehiyong “setFee” mechanism, na pinagsama sa isang backdated lock configuration, ay nagbigay-daan sa paulit-ulit na mga aksyon ng pag-withdraw na nag-drain ng mga reserbang BNB.
Inakusahan din ni Tahax na may naiwan na backdoor sa deployer contract, na lumikha ng mga kondisyon para sa pag-atake. Sa oras na natukoy ng mga imbestigador ang landas ng pag-atake, ang ilan sa mga ninakaw na pondo ay lumipat na sa imprastruktura na maaaring magpahirap sa mga pagsisikap na subaybayan. Ang pinakabagong paglabag na ito ay naganap habang ang mga decentralized finance platforms ay patuloy na nahaharap sa mga insidente ng seguridad sa iba’t ibang network.
Mga Pagsusuri at Pagsubok
Ayon sa data mula sa DefiLlama, ang mga DeFi protocol ay nawalan ng humigit-kumulang $52 milyon sa mga pag-atake hanggang sa Mayo, kasunod ng humigit-kumulang $634 milyon na naitalang pagkalugi noong Abril, ang pinakamataas na buwanang kabuuan mula noong Pebrero 2025.
Ang mga alalahanin sa seguridad ay lumala ngayong linggo matapos ianunsyo ng Stake DAO ang isang pag-atake na kinasasangkutan ang kanilang vote-boosted sdCRV token sa Arbitrum. Iniulat ng blockchain security company na Blockaid na ang isang salarin ay nagmint ng higit sa 5.4 trilyong vsdCRV tokens at nagsimulang ipagpalit ang mga ito para sa ETH, habang hinimok ng Stake DAO ang mga gumagamit na huwag makipag-ugnayan sa asset habang sinusubaybayan ng mga imbestigador ang mga transaksyon sa Arbitrum at Ethereum.
Sa ibang bahagi, iniulat ng Wasabi Protocol ang mga pagkalugi na lumampas sa $5 milyon matapos ang isang compromised administrative key ay nagbigay-daan sa mga salarin na i-upgrade ang mga kontrata at i-drain ang mga pondo sa Ethereum, Base, Berachain, at Blast.
Babala sa Seguridad
Sa gitna ng mga kamakailang insidente, nagbabala ang co-founder ng OpenZeppelin na si Manuel Aráoz na ang mga pagsulong sa AI-assisted vulnerability discovery ay nagpapadali sa mga pag-atake. Ayon sa mga komento na binanggit kanina ng crypto.news, sinabi ni Aráoz na itinuturing na niyang “lahat ng DeFi” na hindi ligtas dahil ang mga salarin ay lalong may access sa mga makapangyarihang tool na maaaring makilala ang mga kahinaan sa software bago pa man ma-patch ng mga developer. Ayon sa DefiLlama, ang mga crypto exploits ay nagresulta sa higit sa $17 bilyon sa kabuuang pagkalugi, kabilang ang humigit-kumulang $7.8 bilyon na ninakaw mula sa mga DeFi protocol lamang.
