据披露,攻击者利用某流动性锁定合约中的隐蔽后门,从BNB链上提取了超过1400名流动性提供者所质押的BNB资产,造成DxSale平台约730万美元经济损失。
此次针对BNB链的攻击波及约1400名流动性提供者,总损失金额达730万美元。研究团队指出,攻击行为可追溯至合约中隐藏的权限缺陷以及此前未披露的所有权转移记录。该事件发生在五月以来去中心化金融领域连续遭遇攻击的背景下,相关协议累计损失已攀升至5200万美元。
区块链安全机构PeckShield分析显示,攻击者控制的地址“0xC457”在将资金分拆转入多个关联钱包前,已先行将价值约187万美元的BNB转入两个核心账户。这些被锁定的资产自DxSale于2021年在BNB链启动代币发行计划以来,长期处于不可提取状态。
独立分析师Tahax的初步追踪发现,本次漏洞可能源于数月前的一次合约所有权变更。进一步调查显示,攻击者在最终掌控地址“0xC45”之前,曾通过超过80笔交易在多个钱包间进行权属转移。其攻击钱包为新创建地址,初始资金来源于加密货币交易所Bybit。
Web3安全公司Coinsult的补充报告将漏洞归因于合约中过度授权的功能模块与被篡改的锁定周期设定。两者结合使本应受限的资金被错误识别为可提取余额。安全团队强调,具备特权的“费用设置”接口配合回溯性锁定配置,允许攻击者重复执行提取操作,最终清空合约内的全部BNB储备。Tahax还确认,部署时遗留的未移除后门为攻击提供了关键入口。
调查过程中发现,部分被盗资金已通过复杂路径经由可能干扰追踪的中间基础设施进行转移。
此次攻击发生之际,去中心化金融平台正面临多重网络上的持续性安全威胁。DefiLlama数据显示,五月至今已有约5200万美元的资产因攻击流失;而四月的损失额高达6.34亿美元,为2025年以来单月最高纪录。
本周安全事件再度升级:Stake DAO披露其Arbitrum网络上的投票增强型sdCRV代币遭入侵,攻击者伪造超过5.4万亿枚vsdCRV并开始兑换为ETH;Wasabi Protocol则因管理密钥泄露,导致攻击者成功升级合约并在多个链上盗取超500万美元资产。
近期一系列事件引发行业警觉。OpenZeppelin联合创始人Manuel Aráoz警告称,人工智能驱动的漏洞探测技术正显著降低攻击门槛。他指出,攻击者如今能借助先进工具在开发者修复前快速定位系统缺陷,因此“整个去中心化金融体系”均处于潜在风险之中。
根据DefiLlama统计,全球加密资产漏洞攻击累计造成损失超170亿美元,其中仅去中心化金融协议的被盗金额已达约78亿美元。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.