Secondo gli avvisi pubblicati il 29 maggio dalle società di sicurezza PeckShield e Coinsult, hacker hanno prelevato circa 7,3 milioni di dollari da oltre 1.400 posizioni legacy di liquidity-provider (LP) bloccate in vecchi contratti DxSale sulla BNB Chain. Diversamente da molte recenti violazioni nel DeFi causate da bug nei contratti smart, questo attacco ha sfruttato un trasferimento di proprietà silenzioso ma critico, che ha permesso agli aggressori di bypassare i controlli di sicurezza standard e drenare direttamente i fondi.
I contratti colpiti facevano parte dell’infrastruttura di locker più datata di DxSale, usata da molti fornitori di liquidità per mettere in sicurezza token destinati a farming o vesting. Questi vault, originariamente progettati per evitare prelievi anticipati, sono diventati vulnerabili quando i privilegi di gestione sono stati trasferiti in maniera nascosta a indirizzi controllati dall’attaccante. Questo tipo di exploit elude vulnerabilità complesse, mettendo in luce i rischi di governance nei protocolli legacy che non prevedevano cambi di proprietà dopo il deployment.
L’analisi dell’exploit rivela un abuso sistematico dei privilegi di proprietà, anziché un malfunzionamento tecnico nel codice del contratto. L’attaccante ha svuotato metodicamente migliaia di token LP accumulati nell’ecosistema BNB Chain, il che potrebbe temporaneamente ridurre la liquidità di alcuni progetti che si basano su questi beni bloccati. Sebbene il danno da 7,3 milioni di dollari rappresenti una frazione del valore complessivo bloccato su BNB Chain, l’entità – che coinvolge più di 1.400 pool – richiama l’attenzione sui pericoli latenti derivanti da pratiche obsolete nella gestione contrattuale.
I contratti locker legacy di DxSale non hanno ricevuto la stessa attenzione in fase di audit rispetto alle versioni più recenti, e il passaggio silenzioso della proprietà non è stato comunicato né rilevato prima dell’attacco. Questo evento sottolinea l’importanza di una trasparenza continua nella gestione dei diritti, soprattutto per protocolli che custodiscono fondi degli utenti per lunghi periodi.
L’impatto sul mercato finora appare contenuto, con il prezzo di BNB stabile. Tuttavia, l’incidente rappresenta un rischio reputazionale per i progetti collegati a questi locker e può minare la fiducia degli utenti nel bloccare fondi tramite contratti smart datati. DxSale e i progetti affiliati non hanno ancora fornito risposte ufficiali o piani di recupero, lasciando gli investitori incerti su possibili compensazioni o aggiornamenti contrattuali.
Si raccomanda di seguire gli aggiornamenti ufficiali di DxSale riguardo all’entità della compromissione e alle eventuali misure correttive. Gli operatori di mercato dovrebbero monitorare i cambiamenti nella liquidità dei token LP e valutare attentamente i rischi prima di interagire con ecosistemi legacy su BNB Chain. Il caso evidenzia chiaramente che la proprietà di un contratto non è solo una riga di codice, ma un confine cruciale per la sicurezza.
$7,3M rubati da oltre 1.400 locker DxSale su BNB Chain con exploit di proprietà
Un attaccante ha sottratto 7,3 milioni di dollari da più di 1.400 locker DxSale su BNB Chain sfruttando un exploit silenzioso nel trasferimento dei diritti di proprietà. Le società di sicurezza evidenziano il rischio crescente legato all’abuso dei privilegi nei contratti smart legacy.