超過 1,400 名流動性提供者遭 $730 萬 DxSale 攻擊影響

5月29日，區塊鏈安全公司標記出一起針對BNB Chain上舊版DxSale合約的攻擊事件，導致逾1,400個流動性池被盜取，損失達730萬美元。此次攻擊進一步拉長了本月不斷增加的DeFi安全 breaches 清單；安全專家警告，老舊的智慧合約與薄弱的存取控制正使各協議暴露於風險之中。 根據鏈上安全帳戶PeckShieldAlert指出，一名名為「Tahax」的用戶率先發現此漏洞。攻擊者至少針對BNB Chain上1,400個舊版DxSale流動性池合約發動攻擊，從中竊取約730萬美元價值的加密貨幣，並隨即透過AnySwap轉移資金，試圖掩蓋其行蹤。 PeckShield補充說明，一個被標識為「0xC457…FA69」的地址已將此次駭客攻擊所得的2,958 BNB（價值187萬美元）轉入兩個主要錢包，之後再經由幣安（Binance）上的多個存款地址進一步轉移資金。 DxSale是一個發行平台，允許加密專案無需自行建構基礎設施即可創建代幣與流動性池。大約五年前，DxSale曾相當盛行，許多在BNB Chain上發行代幣的專案皆透過該協議鎖定其LP（流動性提供者）。 根據Tahax所述，該「鎖倉合約」（locker）至今仍持有多年未曾觸動之專案的LP，而專案創辦人與持有者普遍認為此舉是安全的。然而，近九個月前，DxSale部署者已將該鎖倉合約的所有權轉移至一個新錢包，卻未發布任何公開公告或遷移通知。這位鏈上「去中心化狂熱者」（degen）聲稱，該鎖倉合約未經驗證，極可能內含後門，而攻擊者正是利用此漏洞得手。 兩天前，一個名為0xC457…FA69、資金源自Bybit且可能經由AnySwap路由的新錢包，據報取得該鎖倉合約控制權，並於數小時內開始提取其中的LP資產。 - Aave 獲英國金融行為監管局（FCA）批准，展開英國加密業務 - 安全專家表示：AI程式碼代理已使所有DeFi協議陷入不安全狀態 - Ondo Finance 創辦人Nathan Allman意外逝世，年僅32歲 截至目前，DxSale官方尚未就此次攻擊事件發表任何聲明。 此次DxSale駭客事件並非孤立案例。整個加密產業於4月已因類似事件損失至少6.5億美元。5月 likewise 遭遇多起攻擊，其中包括上周發生的一起：一名攻擊者利用Verus跨鏈橋在驗證付款金額時的缺陷，竊取超過1,100萬美元。安全研究人員指出，攻擊者提交了一筆極小金額的交易，成功通過驗證檢查，卻同時解鎖了跨鏈橋儲備金中的大額提款權限。 本月初，流動性提供商TrustedVolumes亦遭入侵，損失約590萬美元。分析師指出，駭客利用了其自訂結算系統的弱點——該協議在驗證授權時比對的是某一個地址，但實際提領資金時卻從另一個地址執行，因而導致此次攻擊得逞。 THORChain同樣成為受害者。鏈上偵探ZachXBT表示，其損失可能超過1,000萬美元，導致其原生代幣RUNE價格數分鐘內暴跌15%。這一連串持續爆發的安全事件已引發廣泛反應；OpenZeppelin聯合創辦人Manuel Aráoz更直言「所有DeFi皆不安全」，主張AI輔助的攻擊者發現漏洞的速度，已遠超安全團隊修補漏洞的速度。