重點摘要:
- 攻擊者從 DxSale 在 BNB 鏈上的舊版流動性鎖倉合約中竊取了 730 萬美元
- 該漏洞利用涉及隱藏後門與所有權轉移,交易紀錄橫跨超過 80 筆交易
- 根據 DefiLlama 數據,DeFi 協議在 5 月因漏洞攻擊損失約 5200 萬美元,延續 4 月 6.34 億美元的巨額損失
返回
DxSale 在 BNB 鏈上遭隱藏後門漏洞攻擊,損失 730 萬美元
一名攻擊者從 DxSale 在 BNB 鏈上的舊版流動性鎖倉合約中竊取了 730 萬美元,影響約 1,400 名流動性提供者,這些資金自該平台在 2021 年代幣發行熱潮期間達到使用高峰後便一直遭鎖倉。
區塊鏈安全公司 PeckShield 表示:「此漏洞利用了部署合約中的隱藏後門,使被鎖倉的資金得以被視為可提取餘額。」
根據 PeckShield 的說法,攻擊者控制的地址 0xC457 將約 2,958 枚 BNB(價值約 187 萬美元)轉入兩個主要錢包,隨後再將資金路由至多個幣安充值地址。區塊鏈分析師 Tahax 追蹤到在九個月內,所有權變更橫跨超過 80 筆交易,顯示攻擊者可能早已精心策劃。該攻擊者錢包的初始資金來自加密貨幣交易所 Bybit。
此事件是 DeFi 安全漏洞浪潮的一部分。根據 DefiLlama 數據,5 月迄今協議已因此損失約 5200 萬美元,而 4 月的損失總額高達 6.34 億美元——這是自 2025 年 2 月以來的單月最高紀錄。
Web3 安全公司 Coinsult 將此漏洞歸因於一個特權「setFee」函數,搭配一個回溯的鎖倉配置,從而有效地將鎖倉存款轉換為可提取餘額。社群研究人員也指出可能存在內部人員參與,引用 2025 年 8 月的 Telegram 討論,當中有人聲稱擁有解鎖舊版 DxSale 流動性池的內部權限。DxSale 團隊迄今未在任何社群渠道發布官方聲明。
此次攻擊之前,Stake DAO 也發生了一起獨立漏洞事件,攻擊者在 Arbitrum 上鑄造了超過 5.4 兆枚 vsdCRV 代幣;Wasabi Protocol 則因管理密鑰遭入侵,導致合約在以太坊、Base、Berachain 和 Blast 上被惡意升級,損失 500 萬美元。OpenZeppelin 共同創辦人 Manuel Aráoz 近日警告,AI 輔助的漏洞發現技術正使攻擊變得更加容易執行,並稱「整個 DeFi 都不安全」。
本文僅供參考,不構成投資建議。
