DxSale bị rút mất 7,3 triệu USD do backdoor ẩn bị khai thác trên BNB Chain

Một kẻ tấn công đã rút 7,3 triệu USD từ các hợp đồng khóa thanh khoản cũ của DxSale trên BNB Chain, ảnh hưởng đến khoảng 1.400 nhà cung cấp thanh khoản có tiền đã bị khóa kể từ thời kỳ sử dụng cao điểm của nền tảng trong đợt bùng nổ phát hành token năm 2021.

"Vụ khai thác liên quan đến một backdoor ẩn trong hợp đồng triển khai cho phép các khoản tiền bị khóa được xử lý như số dư có thể rút," PeckShield, một công ty bảo mật blockchain, cho biết.

Địa chỉ do kẻ tấn công kiểm soát 0xC457 đã chuyển khoảng 2.958 BNB, trị giá khoảng 1,87 triệu USD, vào hai ví chính trước khi chuyển tiền đến nhiều địa chỉ gửi tiền Binance, theo PeckShield. Nhà phân tích blockchain Tahax đã theo dõi các thay đổi quyền sở hữu qua hơn 80 giao dịch trong chín tháng, cho thấy vụ khai thác đã được chuẩn bị từ trước. Ví khai thác ban đầu được tài trợ thông qua sàn giao dịch tiền điện tử Bybit.

Vụ việc này làm gia tăng làn sóng vi phạm bảo mật DeFi đã khiến các giao thức thiệt hại khoảng 52 triệu USD chỉ riêng trong tháng 5, sau 634 triệu USD thua lỗ trong tháng 4 — mức tổng tháng cao nhất kể từ tháng 2 năm 2025, theo dữ liệu từ DefiLlama.

Công ty bảo mật Web3 Coinsult đã liên kết vụ khai thác với một chức năng "setFee" có đặc quyền kết hợp với cấu hình khóa được đặt ngày trước, giúp chuyển đổi hiệu quả các khoản tiền gửi bị khóa thành số dư có thể rút. Các nhà nghiên cứu trong cộng đồng đã đặt ra nghi vấn về khả năng có sự tham gia của nội bộ, trích dẫn các cuộc thảo luận trên Telegram từ tháng 8 năm 2025, nơi các cá nhân tuyên bố có quyền truy cập nội bộ để mở khóa các nhóm thanh khoản DxSale cũ. Nhóm DxSale chưa đưa ra tuyên bố chính thức trên bất kỳ kênh truyền thông xã hội nào.

Cuộc tấn công này diễn ra sau một vụ khai thác riêng tại Stake DAO, nơi một kẻ tấn công đã đúc hơn 5,4 nghìn tỷ token vsdCRV trên Arbitrum, và một khoản lỗ 5 triệu USD tại Wasabi Protocol sau khi một khóa quản trị bị xâm phạm cho phép nâng cấp hợp đồng trên Ethereum, Base, Berachain và Blast. Đồng sáng lập OpenZeppelin, Manuel Aráoz, gần đây đã cảnh báo rằng việc phát hiện lỗ hổng hỗ trợ bởi AI đang khiến các cuộc tấn công dễ thực hiện hơn, gọi "toàn bộ DeFi" là không an toàn.

Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.