Points clés :
Un attaquant a siphonné 7,3 millions de dollars des anciens contrats de verrouillage de liquidité de DxSale sur BNB Chain, affectant environ 1 400 fournisseurs de liquidité dont les fonds étaient restés bloqués depuis la période d'utilisation maximale de la plateforme lors du boom des lancements de tokens en 2021.
"L'exploit impliquait une porte dérobée cachée dans le contrat de déploiement qui permettait de traiter les fonds verrouillés comme des soldes retirables," a déclaré PeckShield, une société de sécurité blockchain.
L'adresse contrôlée par l'attaquant, 0xC457, a déplacé environ 2 958 BNB, d'une valeur d'environ 1,87 million de dollars, vers deux portefeuilles principaux avant d'acheminer les fonds vers plusieurs adresses de dépôt de Binance, selon PeckShield. L'analyste blockchain Tahax a retracé les changements de propriété sur plus de 80 transactions sur neuf mois, suggérant que l'exploit avait été préparé bien à l'avance. Le portefeuille de l'exploiteur avait été initialement financé via la plateforme d'échange crypto Bybit.
Cet incident s'ajoute à une vague de failles de sécurité DeFi qui ont coûté aux protocoles environ 52 millions de dollars rien qu'en mai, après 634 millions de dollars de pertes en avril — le total mensuel le plus élevé depuis février 2025, selon les données de DefiLlama.
La société de sécurité Web3 Coinsult a lié l'exploit à une fonction privilégiée "setFee" combinée à une configuration de verrouillage antidatée, qui convertissait effectivement les dépôts verrouillés en soldes retirables. Des chercheurs de la communauté ont évoqué une possible implication d'initiés, citant des discussions Telegram d'août 2025 où des individus revendiquaient un accès interne pour déverrouiller d'anciens pools de liquidité DxSale. L'équipe DxSale n'a publié aucune déclaration officielle sur ses canaux sociaux.
Cette attaque fait suite à un exploit distinct chez Stake DAO, où un attaquant a minté plus de 5,4 billions de tokens vsdCRV sur Arbitrum, ainsi qu'à une perte de 5 millions de dollars chez Wasabi Protocol après qu'une clé administrative compromise a permis des mises à niveau de contrats sur Ethereum, Base, Berachain et Blast. Le cofondateur d'OpenZeppelin, Manuel Aráoz, a récemment averti que la découverte de vulnérabilités assistée par IA rend les attaques plus faciles à exécuter, qualifiant "l'ensemble de la DeFi" de non sécurisé.
Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.
