Puntos clave:
Un atacante drenó $7.3 millones de los contratos heredados de bloqueo de liquidez de DxSale en BNB Chain, afectando a aproximadamente 1,400 proveedores de liquidez cuyos fondos habían permanecido bloqueados desde el pico de uso de la plataforma durante el auge de lanzamientos de tokens en 2021.
"La explotación involucró una puerta trasera oculta en el contrato del implementador que permitía tratar los fondos bloqueados como saldos retirables", señaló PeckShield, una firma de seguridad blockchain.
La dirección controlada por el atacante, 0xC457, movió aproximadamente 2,958 BNB, valorados en unos $1.87 millones, a dos billeteras principales antes de canalizar los fondos a múltiples direcciones de depósito de Binance, según PeckShield. El analista blockchain Tahax rastreó cambios de propiedad a través de más de 80 transacciones durante nueve meses, lo que sugiere que la explotación fue preparada con mucha antelación. La billetera del explotador fue financiada inicialmente a través del exchange de criptomonedas Bybit.
El incidente se suma a una ola de brechas de seguridad en DeFi que le han costado a los protocolos aproximadamente $52 millones solo en mayo, tras pérdidas de $634 millones durante abril — el total mensual más alto desde febrero de 2025, según datos de DefiLlama.
La firma de seguridad Web3 Coinsult vinculó la explotación a una función privilegiada "setFee" combinada con una configuración de bloqueo con fecha retroactiva, que efectivamente convertía los depósitos bloqueados en saldos retirables. Investigadores de la comunidad señalaron una posible participación interna, citando discusiones en Telegram de agosto de 2025 donde individuos afirmaban tener acceso interno para desbloquear antiguos pools de liquidez de DxSale. El equipo de DxSale no ha emitido ninguna declaración oficial en ninguno de sus canales sociales.
El ataque sigue a una explotación separada en Stake DAO, donde un atacante acuñó más de 5.4 billones de tokens vsdCRV en Arbitrum, y una pérdida de $5 millones en Wasabi Protocol después de que una clave administrativa comprometida permitiera actualizaciones de contratos en Ethereum, Base, Berachain y Blast. El cofundador de OpenZeppelin, Manuel Aráoz, advirtió recientemente que el descubrimiento de vulnerabilidades asistido por IA está facilitando la ejecución de ataques, calificando a "todo DeFi" como inseguro.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
