Des hackers ont extrait environ 7,3 millions de dollars de plus de 1 400 positions de fournisseurs de liquidité (LP) anciennes, verrouillées dans des contrats DxSale obsolètes sur BNB Chain, selon les alertes publiées par PeckShield et Coinsult le 29 mai. Contrairement à de nombreuses récentes attaques DeFi liées à des bugs dans les contrats intelligents, ce vol a exploité un transfert silencieux mais crucial de propriété, permettant aux attaquants de contourner les contrôles de sécurité habituels et de siphonner directement les fonds.
Les contrats touchés faisaient partie de l’ancienne infrastructure de lockers de DxSale, utilisée par de nombreux fournisseurs de liquidité pour sécuriser leurs tokens destinés au farming ou au vesting. Ces coffres, conçus initialement pour empêcher les retraits anticipés, sont devenus vulnérables lorsque les droits de gestion ont été discrètement transférés à des adresses contrôlées par l’attaquant. Ce type d’exploitation évite les vulnérabilités complexes et met en lumière des risques de gouvernance dans des protocoles anciens qui n’avaient pas anticipé de changements de propriété après leur déploiement.
L’analyse de l’exploit révèle un schéma d’abus de privilèges propriétaire plutôt qu’une faille technique dans la logique du contrat. L’attaquant a méthodiquement vidé des milliers de tokens LP répartis dans l’écosystème BNB Chain, ce qui pourrait temporairement réduire la liquidité de certains projets reposant sur ces actifs verrouillés. Si la perte de 7,3 millions de dollars représente une fraction de la valeur totale verrouillée sur BNB Chain, l’ampleur – couvrant plus de 1 400 pools – attire l’attention sur les dangers latents des pratiques obsolètes de gestion des contrats.
Les contrats legacy lockers de DxSale n’ont pas bénéficié du même niveau d’audit que leurs homologues plus récents, et le transfert silencieux de propriété n’a pas été rendu public ni indiqué avant l’attaque. Cet incident souligne l’importance d’une gestion continue et transparente des droits, surtout pour les protocoles détenant des fonds utilisateurs sur de longues périodes.
L’impact sur le marché reste limité à ce stade, le prix de BNB étant stable. Néanmoins, cet événement représente un risque réputationnel pour les projets liés à ces lockers et pourrait affecter la confiance des utilisateurs pour verrouiller des fonds via des contrats anciens. DxSale et les projets affiliés n’ont pas encore fourni de réponse officielle ni de plan de relance, laissant les investisseurs dans l’incertitude quant aux compensations ou mises à jour.
Il est recommandé de suivre les mises à jour officielles de DxSale sur l’étendue de la compromission et les mesures correctives. Les traders doivent surveiller les variations de liquidité des tokens LP et évaluer prudemment les risques avant d’interagir avec les écosystèmes de contrats legacy sur BNB Chain. Cette affaire rappelle que la propriété d’un contrat n’est pas seulement une ligne de code, mais une frontière essentielle en matière de sécurité.
7,3 M$ détournés de plus de 1 400 lockers DxSale sur BNB Chain via exploit de propriété
Un attaquant a dérobé 7,3 millions de dollars à plus de 1 400 anciens lockers DxSale sur BNB Chain en utilisant un transfert de propriété silencieux. Les experts en sécurité soulignent les risques croissants liés aux exploitations de privilèges dans les contrats intelligents anciens.