Güvenlik firmaları PeckShield ve Coinsult’un 29 Mayıs’ta yayınladığı uyarılara göre, hackerlar BNB Chain’deki eski DxSale kontratlarında kilitli 1.400’den fazla likidite sağlayıcı (LP) pozisyonundan yaklaşık 7,3 milyon dolar çıkardı. Son DeFi saldırılarının çoğunlukla akıllı kontrat hatalarından kaynaklanmasına karşın, bu saldırı fark edilmeden yapılan kritik bir sahiplik transferi üzerinden gerçekleştirildi. Böylece saldırganlar standart güvenlik kontrollerini atlayarak doğrudan fonları boşalttı.
Etkilenen kontratlar DxSale’nin eski locker altyapısına aitti. Birçok likidite sağlayıcı, tokenlerini farming veya vesting süreçlerinde güvence altına almak için bu vault’ları kullanıyordu. Erken çekilmeyi engellemek üzere tasarlanan bu kasalar, yönetim yetkilerinin sessizce saldırganın kontrolündeki adreslere devredilmesiyle savunmasız hale geldi. Bu tür bir açık, karmaşık yazılım hatalarını devre dışı bırakarak, konuşlandırma sonrası sahiplik değişikliklerini öngörmeyen eski protokollerde yönetim risklerini görünür kıldı.
İstismar analizi, kontrat mantığında teknik bir hata olmadığını, bunun yerine sahiplik ayrıcalıklarının kötüye kullanılmasının söz konusu olduğunu ortaya koyuyor. Saldırgan, BNB Chain ekosisteminde binlerce LP tokenini sistematik şekilde boşalttı. Bu durum, kilitli varlıklara dayanan bazı projelerin likiditesini geçici olarak sıkıştırabilir. 7,3 milyon dolarlık kayıp BNB Chain’in toplam kilitli değerinin küçük bir parçası olsa da, 1.400’ü aşan havuzdaki geniş ölçek, eski kontrat yönetimi uygulamalarının gizli tehlikelerine dikkat çekiyor.
DxSale’nin eski locker kontratları, daha yeni versiyonları kadar dikkatli denetimlerden geçmedi. Ayrıca sahiplik devri kamuoyuna açıklanmadı ve önceden işaretlenmedi. Bu olay, uzun süreli kullanıcı fonu tutan protokollerde hak yönetimi şeffaflığının sürekliliğinin önemini bir kez daha gösterdi.
Piyasa etkisi şu ana kadar sınırlı görünüyor; BNB fiyatı stabil seyretti. Ancak olay, bu locker’larla bağlantılı projeler için itibar riski oluşturuyor ve kullanıcıların eski akıllı kontratlarda fon kilitleme konusunda güvenini sarsabilir. DxSale ve bağlı projeler henüz resmi bir açıklama veya kurtarma planı sunmadı. Bu durum yatırımcılar arasında tazminat veya kontrat güncellemeleriyle ilgili belirsizlik yaratıyor.
DxSale’den kapsam ve düzeltme önlemleri hakkında resmi duyuruların takip edilmesi gerekiyor. Yatırımcılar ayrıca LP token likiditesindeki hareketleri dikkatle izlemeli ve BNB Chain’deki eski kontrat ekosistemleriyle işlem yapmadan önce risk değerlendirmesi yapmalı. Olay, kontrat sahipliğinin sadece kod satırlarından ibaret olmadığını, kritik bir güvenlik sınırı olduğunu acı bir şekilde hatırlatıyor.
1.400’den Fazla DxSale BNB Chain Lokeri Sahiplik Açığıyla 7,3 Milyon Dolar Kaybetti
Saldırgan, DxSale’nin BNB Chain üzerindeki 1.400’den fazla eski likidite sağlayıcı lokerden 7,3 milyon dolar çaldı. Güvenlik şirketleri, eski akıllı kontratlardaki sahiplik ayrıcalıklarının ciddi riskler doğurduğunu vurguluyor.