Öne Çıkanlar:
Bir saldırgan, DxSale'in BNB Chain üzerindeki eski likidite kilidi sözleşmelerinden 7,3 milyon dolar çalarak, fonları platformun 2021 token lansmanı patlaması sırasındaki en yoğun kullanım döneminden bu yana kilitli kalan yaklaşık 1.400 likidite sağlayıcısını etkiledi.
"İstismar, kilitli fonların çekilebilir bakiyeler olarak işlenmesine izin veren, dağıtıcı sözleşmedeki gizli bir arka kapıyı içeriyordu," dedi blockchain güvenlik firması PeckShield.
Saldırganın kontrolündeki 0xC457 adresli cüzdan, yaklaşık 2.958 BNB'yi (yaklaşık 1,87 milyon dolar değerinde) iki ana cüzdana taşıdı ve ardından fonları birden fazla Binance yatırma adresine yönlendirdi, PeckShield verilerine göre. Blockchain analisti Tahax, dokuz ay boyunca 80'den fazla işleme yayılan mülkiyet değişikliklerini izledi ve bu durum, saldırının çok önceden hazırlandığını gösteriyor. Saldırgan cüzdanı başlangıçta kripto borsası Bybit üzerinden finanse edildi.
Bu olay, DefiLlama verilerine göre Nisan ayında 634 milyon dolarlık kaybın ardından (Şubat 2025'ten bu yana en yüksek aylık toplam) yalnızca Mayıs ayında protokollere yaklaşık 52 milyon dolara mal olan bir DeFi güvenlik ihlalleri dalgasına ekleniyor.
Web3 güvenlik firması Coinsult, saldırıyı, kilitli mevduatları etkili bir şekilde çekilebilir bakiyelere dönüştüren geçmişe dönük bir kilit yapılandırmasıyla birleşen ayrıcalıklı bir "setFee" fonksiyonuna bağladı. Topluluk araştırmacıları, Ağustos 2025'ten itibaren Telegram tartışmalarına atıfta bulunarak olası bir içeriden katılım olduğunu belirtti; bu tartışmalarda kişilerin eski DxSale likidite havuzlarının kilidini açmak için dahili erişime sahip oldukları iddia ediliyordu. DxSale ekibi, sosyal kanallarının hiçbirinde resmi bir açıklama yapmadı.
Saldırı, bir saldırganın Arbitrum'da 5,4 trilyondan fazla vsdCRV tokeni bastığı Stake DAO'daki ayrı bir istismarın ve ele geçirilmiş bir yönetim anahtarının Ethereum, Base, Berachain ve Blast genelinde sözleşme yükseltmelerine izin vermesiyle Wasabi Protocol'de 5 milyon dolarlık bir kaybın ardından geldi. OpenZeppelin kurucu ortağı Manuel Aráoz yakın zamanda yapay zeka destekli güvenlik açığı keşfinin saldırıları gerçekleştirmeyi kolaylaştırdığı konusunda uyararak "tüm DeFi'yi" güvensiz olarak nitelendirdi.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımamaktadır.
