DxSale втратила $7,3 млн через експлойт у локері ліквідності на BNB Chain

За даними PeckShield, атака почалася з адреси 0xC457. З неї близько $1,87 млн у BNB переказали на два основні гаманці. Потім частину коштів відправили на кілька депозитних адрес Binance.

Причиною зламу стала привілейована функція у смартконтракті локера. Вона дозволяла перетворювати заблоковані депозити на баланси, доступні для виведення. Coinsult пише, що функція setFee у поєднанні з lock-періодом, встановленим заднім числом, дала змогу зловмиснику багаторазово виводити BNB із контракту.

Ончейн-аналітик Tahax повідомив, що deployer DxSale передав право власності на контракт локера 269 днів тому. Після цього право власності переходило між адресами близько 80 разів, що могло використовуватися для приховування контролю над контрактом. У підсумку воно опинилося у гаманця 0xC45, з якого й почалися масові виведення BNB.

У локері зберігалася стара криптоліквідність проєктів, які використовували DxSale у 2021 році для блокування стартової ліквідності на BNB Chain. Серед постраждалих можуть бути проєкти й команди, які вже неактивні.

За даними DefiLlama, у травні втрати крипторинку від експлойтів становили близько $52 млн. Це значно менше за квітневі $634 млн. Загалом DefiLlama відстежує понад $17 млрд втрат від криптоексплойтів, зокрема близько $7,8 млрд у DeFi.

Частину вкрадених коштів спрямували на депозитні адреси централізованих бірж. Це може ускладнити повернення активів: подальші дії залежатимуть від співпраці бірж і можливої участі правоохоронних органів.