DxSale, 7.3 Milyon Dolarlık BNB Chain Açığına Maruz Kaldı

DxSale, BNB Chain üzerinde 1.400'den fazla likidite sağlayıcısını etkileyen bir açık sonucu 7.3 milyon dolar kaybetti. Araştırmacılar, saldırıyı gizli bir sözleşme arka kapısına ve daha önce açıklanmayan bir sahiplik transferine bağladı.

Blockchain güvenlik firması PeckShield'e göre, saldırganın kontrolündeki "0xC457" adresi, fonları Binance ile ilişkili birden fazla depozito adresine göndermeden önce yaklaşık 1.87 milyon dolarlık BNB'yi iki ana cüzdana taşıdı. Olay, DxSale'in 2021'de BNB Chain üzerinde token lansmanları için yaygın olarak kullanıldığından beri DxSale sözleşmelerinde kilitli kalan likiditeyi etkiledi.

Blockchain analisti Tahax'ın ilk bulguları, açığın saldırıdan aylar önce gerçekleşen bir sözleşme sahipliği değişikliğinden kaynaklanmış olabileceğini gösteriyor. Tahax, "İstismarın nasıl gerçekleştiği şöyle: 269 gün önce, DxSale dağıtıcısı sessizce kilitleme mekanizmasının sahipliğini yeni bir cüzdana devretti... Herhangi bir duyuru, göç bildirimi yok, sadece sessiz bir devir." dedi.

Coinsult'tan yapılan ek analiz, açığı ayrıcalıklı bir sözleşme işlevi ve manipüle edilmiş bir kilit süresiyle ilişkilendirdi. Güvenlik firması, ayrıcalıklı bir "setFee" mekanizmasının, geriye dönük bir kilit yapılandırmasıyla birleşerek, başlangıçta kilitli kalması gereken fonların çekilebilir bakiyeler olarak değerlendirilmesini sağladığını söyledi. Tahax ayrıca, dağıtım sözleşmesinde bir arka kapı bırakıldığını ve bu sayede açığa zemin hazırlandığını iddia etti.

En son ihlal, merkeziyetsiz finans platformlarının birden fazla ağda güvenlik olaylarıyla karşılaşmaya devam etmesiyle geldi. DefiLlama'dan alınan verilere göre, DeFi protokolleri Mayıs ayında şu ana kadar yaklaşık 52 milyon dolar kayıp yaşadı. Bu, Şubat 2025'ten bu yana en yüksek aylık toplam olan Nisan ayında kaydedilen yaklaşık 634 milyon dolarlık kayıpları takip ediyor. Güvenlik endişeleri, Stake DAO'nun Arbitrum üzerindeki oylamayla desteklenen sdCRV token'ında bir açığı ifşa etmesinden sonra bu hafta yoğunlaştı.

Bu olaylar zincirinin ortasında, OpenZeppelin kurucu ortağı Manuel Aráoz, yapay zeka destekli güvenlik açığı keşfindeki gelişmelerin saldırıları daha kolay hale getirdiğini konusunda uyardı. Aráoz, artık "tüm DeFi'yi" güvensiz olarak gördüğünü, çünkü saldırganların geliştiricilerin düzeltmelerinden önce yazılım zayıflıklarını belirleyebilen güçlü araçlara giderek daha fazla erişimi olduğunu söyledi.