Gegužės 29 d. blokų grandinės saugumo firmos pranešė apie 7,3 mln. dolerių vertės išnaudojimą, kurio metu buvo ištuštinta daugiau nei 1400 likvidumo fondų, susijusių su senomis DxSale sutartimis BNB tinkle.
Šis išpuolis papildo augantį DeFi pažeidimų sąrašą šį mėnesį, o saugumo ekspertai įspėja, kad senstančios išmaniosios sutartys ir silpnos prieigos kontrolės palieka protokolus pažeidžiamus.
Kas nutiko
Remiantis grandinės saugumo paskyros „PeckShieldAlert“ duomenimis, vartotojas, vardu „Tahax“, pirmasis nustatė išnaudojimą. Jų pranešime teigiama, kad užpuolikai taikėsi į mažiausiai 1400 senų DxSale likvidumo fondų sutarčių BNB tinkle, ištuštindami iš jų apie 7,3 mln. dolerių vertės kriptovaliutų, kurias vėliau nukreipė per „AnySwap“, bandydami paslėpti savo pėdsakus.
„PeckShield“ pridūrė, kad adresas, identifikuotas kaip „0xC457…FA69“, iš įsilaužimo pervedė 2958 BNB, vertų 1,87 mln. dolerių, į dvi pagrindines pinigines, kurios vėliau perkėlė lėšas per kelis depozito adresus „Binance“.
DxSale yra paleidimo platforma, leidžianti kriptovaliutų projektams kurti žetonus ir likvidumo fondus ne kuriant savo infrastruktūros. Tai buvo gana didelė platforma prieš penkerius metus, kai daugelis projektų paleido žetonus BNB tinkle, užrakindami savo LP su protokolu.
Pasak Tahax, spyna vis dar laikė LP iš projektų, kurie nebuvo paliesti daugelį metų, o įkūrėjai ir turėtojai manė, kad tai saugu. Tačiau beveik prieš devynis mėnesius DxSale diegėjas perdavė spynos nuosavybę naujai piniginei be jokio viešo pranešimo ar migracijos pranešimo. Grandinės degeneratas teigia, kad spynos sutartis buvo nepatvirtinta ir joje tikriausiai buvo galinės durys, kuriomis pasinaudojo užpuolikas.
Prieš dvi dienas 0xC457…FA69, visiškai nauja piniginė, finansuojama iš Bybit ir galimai nukreipta per AnySwap, pranešama, kad perėmė spynos nuosavybę ir per kelias valandas pradėjo ištuštinti LP.
Jums taip pat gali patikti:
Pati DxSale dar nepateikė pareiškimo dėl išnaudojimo.
DeFi saugumo problemos nuolat auga
DxSale įsilaužimas neįvyko atskirai, nes kriptovaliutų sektorius balandį prarado mažiausiai 650 mln. dolerių dėl panašių incidentų. Gegužę taip pat buvo nemažai išpuolių, įskaitant vieną praėjusią savaitę, kai asmuo pavogė daugiau nei 11 mln. dolerių iš Verus tilto, pasinaudojęs trūkumu, kaip jis patikrino mokėjimo sumas. Saugumo tyrėjų teigimu, užpuolikas pateikė mažytę transakciją, kuri praėjo patikrinimo patikrinimus ir vis tiek atrakino didelius išėmimus iš tilto rezervų.
Anksčiau šį mėnesį likvidumo teikėjas „TrustedVolumes“ taip pat buvo užpultas už maždaug 5,9 mln. dolerių po to, kai įsilaužėlis pasinaudojo savo pasirinktinės atsiskaitymo sistemos trūkumais, o analitikai atkreipė dėmesį, kad išnaudojimas veikė, nes protokolas patikrino autorizaciją pagal vieną adresą, o lėšas traukė iš kito.
THORChain taip pat tapo auka, o grandinės seklys ZachXBT teigė, kad ji galėjo prarasti daugiau nei 10 mln. dolerių, dėl kurių jos RUNE žetonas per kelias minutes nukrito 15%.
Šis nuolatinis išnaudojimų srautas sukėlė reakciją, o „OpenZeppelin“ įkūrėjas Manuelis Aráozas pareiškė, kad „visa DeFi yra nesaugi“, teigdamas, kad dirbtinio intelekto padedami užpuolikai randa pažeidžiamumų greičiau nei saugumo komandos juos gali pataisyti.
