Hakerzy wydrenowali około $7,3 mln z ponad 1 400 starszych pozycji dostawców płynności (LP) zablokowanych w starych kontraktach DxSale na BNB Chain, wynika z alarmów opublikowanych przez firmy bezpieczeństwa PeckShield i Coinsult 29 maja. W przeciwieństwie do wielu ostatnich ataków na DeFi opartych na błędach w smart kontraktach, ta kradzież wykorzystała cichą, ale krytyczną zmianę właściciela, która pozwoliła napastnikom ominąć standardowe mechanizmy bezpieczeństwa i bezpośrednio wypłacić środki.
Dotknięte kontrakty były częścią starszej infrastruktury lockerów DxSale, z której korzystali dostawcy płynności, aby zabezpieczyć tokeny przeznaczone do farmingu lub vestingu. Te zabezpieczenia, pierwotnie zaprojektowane, by zapobiegać przedwczesnym wypłatom, stały się podatne, gdy prawa zarządzania zostały potajemnie przekazane adresom kontrolowanym przez atakującego. Tego rodzaju exploit omija skomplikowane luki technologiczne, ujawniając ryzyka związane z zarządzaniem protokołami legacy, które nie przewidywały zmian właścicielskich po wdrożeniu.
Analiza wykradzenia ujawnia wzorzec nadużycia uprawnień właścicielskich, a nie błąd techniczny w logice kontraktu. Atakujący systematycznie opróżnił tysiące tokenów LP zgromadzonych w ekosystemie BNB Chain, co może tymczasowo ograniczyć płynność niektórych projektów polegających na tych zablokowanych aktywach. Choć strata $7,3 mln stanowi jedynie ułamek całkowitej wartości zablokowanej na BNB Chain, skala – obejmująca ponad 1 400 puli – zwraca uwagę na ukryte zagrożenia płynące ze stosowania przestarzałych praktyk zarządzania kontraktami.
Dziedziczne kontrakty lockerów DxSale nie były poddane tak rygorystycznym audytom jak nowsze wersje, a cicha zmiana właściciela nie została publicznie ujawniona ani wcześniej zgłoszona. Incydent podkreśla znaczenie stałej transparentności w zarządzaniu prawami, szczególnie w protokołach przechowujących środki użytkowników przez dłuższy czas.
Jak dotąd wpływ na rynek jest ograniczony, a kurs BNB utrzymuje stabilność. Mimo to zdarzenie niesie ze sobą ryzyko reputacyjne dla projektów powiązanych z tymi lockerami i może osłabić zaufanie użytkowników do blokowania środków w starszych smart kontraktach. DxSale i powiązane projekty nie udzieliły jeszcze oficjalnej odpowiedzi ani nie przedstawiły planu naprawczego, pozostawiając inwestorów w niepewności co do ewentualnych rekompensat lub aktualizacji kontraktów.
Warto śledzić oficjalne komunikaty DxSale dotyczące zakresu naruszenia i działań naprawczych. Traderzy powinni również monitorować zmiany w płynności tokenów LP i ostrożnie oceniać ryzyko przy operacjach z kontraktami legacy na BNB Chain. Ta sprawa przypomina jasno: własność kontraktu to nie tylko linijka kodu – to kluczowa granica bezpieczeństwa.
Atak na DxSale BNB Chain: $7,3 mln skradzione przez exploit własności w 1 400 lockerach
Atakujący ukradł $7,3 mln z ponad 1 400 starych lockerów DxSale na BNB Chain dzięki cichej zmianie właściciela. Eksperci ds. bezpieczeństwa wskazują na rosnące ryzyko luk w zarządzaniu uprawnieniami w starszych smart kontraktach.