要点:
- 攻击者从 DxSale 在 BNB Chain 上的遗留流动性锁定合约中盗取了 730 万美元
- 该漏洞涉及一个隐藏后门,以及通过超过 80 笔交易追踪到的所有权转移
- 5 月份 DeFi 协议因漏洞利用损失约 5200 万美元,而 4 月份损失为 6.34 亿美元
返回
DxSale 在 BNB Chain 上遭隐藏后门攻击,损失 730 万美元
一名攻击者从 DxSale 在 BNB Chain 上的遗留流动性锁定合约中盗取了 730 万美元,影响了约 1400 个流动性提供者,这些资金自该平台在 2021 年代币发行热潮期间达到使用高峰以来一直处于锁定状态。
区块链安全公司 PeckShield 表示:"该漏洞涉及部署者合约中的一个隐藏后门,该后门允许将锁定的资金视为可提取余额。"
根据 PeckShield 的说法,攻击者控制的地址 0xC457 将大约 2958 个 BNB(价值约 187 万美元)转移到了两个主要钱包,随后将资金路由到多个币安存款地址。区块链分析师 Tahax 追踪了九个月内超过 80 笔交易的所有权变更,表明该漏洞是提前精心策划的。攻击者钱包最初是通过加密货币交易所 Bybit 获得资金的。
这一事件加剧了 DeFi 安全漏洞浪潮。根据 DefiLlama 的数据,仅 5 月份,DeFi 协议因漏洞利用就已损失约 5200 万美元,而 4 月份的损失为 6.34 亿美元——这是自 2025 年 2 月以来最高的月度总额。
Web3 安全公司 Coinsult 将此次漏洞与一个特权 "setFee" 函数结合一个回溯日期锁定配置联系起来,该配置有效地将锁定的存款转换为可提取余额。社区研究人员指出了可能的内幕参与,引用了 2025 年 8 月的 Telegram 讨论,其中有人声称拥有解锁旧 DxSale 流动性池的内部权限。DxSale 团队尚未在其任何社交渠道上发布官方声明。
此次攻击发生之前,Stake DAO 发生了一起单独的漏洞事件,攻击者在 Arbitrum 上铸造了超过 5.4 万亿个 vsdCRV 代币;Wasabi Protocol 也因管理密钥被泄露,允许在以太坊、Base、Berachain 和 Blast 上进行合约升级,导致了 500 万美元的损失。OpenZeppelin 联合创始人 Manuel Aráoz 最近警告称,AI 辅助的漏洞发现使得攻击更容易实施,并称 "整个 DeFi 都不安全"。
本文仅供参考,不构成投资建议。
