DxSale потеряла $7,3 млн из-за эксплойта в локере ликвидности на BNB Chain

По данным PeckShield, атака началась с адреса 0xC457. С него около $1,87 млн в BNB были переведены на два основных кошелька. Затем часть средств отправили на несколько депозитных адресов Binance.

Причиной взлома стала привилегированная функция в смарт-контракте локера. Она позволяла превращать заблокированные депозиты в балансы, доступные для вывода. Coinsult пишет, что функция setFee в сочетании с задним числом установленным lock-периодом позволила злоумышленнику многократно выводить BNB из контракта.

Ончейн-аналитик Tahax сообщил, что deployer DxSale передал право собственности на контракт локера 269 дней назад. После этого право собственности переходило между адресами около 80 раз, что могло использоваться для сокрытия контроля над контрактом. В итоге оно оказалось у кошелька 0xC45, с которого и начались массовые выводы BNB.

В локере хранилась старая криптоликвидность проектов, которые использовали DxSale в 2021 году для блокировки стартовой ликвидности на BNB Chain. Среди пострадавших могут быть проекты и команды, которые уже неактивны.

По данным DefiLlama, в мае потери крипторынка от эксплойтов составили около $52 млн. Это намного меньше апрельских $634 млн. Всего DefiLlama отслеживает более $17 млрд потерь от криптоэксплойтов, включая около $7,8 млрд в DeFi.

Часть украденных средств была направлена на депозитные адреса централизованных бирж. Это может осложнить возврат активов: дальнейшие действия будут зависеть от сотрудничества бирж и возможного участия правоохранительных органов.