DxSale kehilangan $7.3M dalam penggodaman penyedia kecairan (LP) BNB Chain

DxSale, platform pelancaran token dan penguncian kecairan yang sudah lama wujud dan banyak digunakan semasa kebangkitan memecoin awal di BNB Chain, mengalami eksploitasi besar yang menguras anggaran $7.3 million dana penyedia kecairan (LP).

Insiden itu menjejaskan lebih daripada 1,400 kolam kecairan, menurut penjejakan on-chain yang dikongsi selepas kejadian.

Kolam-kolam itu tersebar di pelbagai projek token lama, banyak daripadanya tidak lagi aktif dari segi pembangunan atau dagangan selama bertahun-tahun tetapi masih memegang kecairan yang dikunci di dalam kontrak DxSale.

Perkara penting, eksploitasi itu nampaknya tidak mensasarkan satu token atau projek tunggal. Sebaliknya, ia menjejaskan lapisan infrastruktur kongsi yang digunakan oleh ratusan deployment, membesarkan skala kerugian.

How the attack on the BNB Chain LPs happened

Analisis on-chain dan pecahan penyiasat dari Tahax mencadangkan eksploitasi itu bukan sesuatu yang tiba-tiba.

Sebaliknya, ia berkembang melalui satu siri perubahan pentadbiran terkawal yang berlaku beberapa bulan sebelum pengurasan sebenar.

Kira-kira 269 hari sebelum insiden, penyebar DxSale dilaporkan memindahkan pemilikan sebuah kontrak locker utama kepada dompet baru. Peralihan itu tidak diumumkan secara awam, dan tiada notis migrasi dikeluarkan kepada pengguna atau pasukan token yang bergantung pada sistem tersebut.

Dari masa ke masa, kawalan pemilikan tidak kekal statik. Hak pentadbiran dilaporkan dipindahkan melalui kira-kira 80 pemindahan dompet berasingan, setiap satu direka untuk mengaburi jejak perubahan pemegangan.

Pergerakan ini mengurangkan keterlihatan tentang siapa yang akhirnya mengawal sistem locker sambil mengekalkan keistimewaan pentadbiran.

Dua hari sebelum eksploitasi bermula, pemilikan disatukan ke dalam satu dompet:

0xC4574DDEF299e7E563971e200433e592EeaaFA69

Dompet itu baru dicipta dan dilaporkan dibiayai melalui Bybit, dengan aktiviti perutean yang dikaitkan melalui infrastruktur jambatan rentas-rantai yang sering digunakan untuk menyamarkan asal dana.

Dalam beberapa jam selepas penyatuan ini, aktiviti pengurasan kecairan bermula merentas ratusan kolam token.

Technical execution of the drain

Satu pecahan terperinci dari penganalisis keselamatan on-chain di Coinsult menerangkan mekanisme yang digunakan untuk mengeluarkan dana dari sistem locker DxSale.

Kontrak penyerang, disebarkan tidak lama sebelum insiden, tidak disahkan dan dibina menggunakan Solidity 0.8.33. Ia berfungsi sebagai perancang tunggal, membenarkan pelbagai tindakan dilaksanakan dalam satu transaksi melalui logik pemanggilan sendiri.

Urutan pelaksanaan menyasarkan mekanik dalaman kontrak locker.

Pertama, penyerang mencetuskan satu fungsi yang mengurangkan yuran penguncian kepada 1 wei, secara efektif membuang halangan kos untuk mengubah posisi yang dikunci.

Diikuti oleh tindakan kedua yang menetapkan cap masa luput kunci kepada 68 saat selepas Unix epoch, secara efektif menetapkan semula kunci ke masa yang tidak lagi melindungi kecairan yang didepositkan.

Selepas ini, parameter yuran dinaikkan kepada nilai yang sangat tinggi, kira-kira 1e29, yang nampaknya digunakan untuk mengganggu tingkah laku interaksi kontrak biasa semasa pelaksanaan.

Setelah keadaan dalaman diubah, penyerang memulakan panggilan pengeluaran berulang yang membenarkan token ditarik dari locker.

Dana ini kemudian ditukar kepada WBNB dan BNB sebelum dipindahkan melalui pelbagai laluan untuk menyamarkan jejak transaksi.

Struktur kontrak bermakna bahawa sebaik sahaja parameter pentadbiran diubah, status “dikunci” kecairan tidak lagi mencerminkan sekatan pengeluaran sebenar.

Why the LP locker system became a target

DxSale digunakan secara meluas semasa ledakan memecoin 2021 di BNB Chain sebagai alat lalai untuk penguncian kecairan.

Banyak pelancaran token bergantung kepadanya untuk menunjukkan keselamatan kepada pelabur awal dengan mengunci token kolam kecairan untuk tempoh yang panjang.

Walau bagaimanapun, model keselamatan sistem bergantung kuat pada kawalan pentadbiran dan bukannya logik kontrak yang benar-benar tidak boleh diubah.

Menurut analisis, fungsi seperti pelarasan yuran dan konfigurasi kunci kekal boleh diakses melalui peranan pemilikan istimewa.

Penganalisis keselamatan mencatatkan bahawa eksploitasi itu menjadi mungkin kerana kontrak locker masih mempunyai kunci pemilik aktif yang mampu mengubah parameter kritikal.

Ini bermakna kecairan yang “dikunci” tidak ditegakkan secara ketat oleh kod yang tidak boleh diubah tetapi sebaliknya diperintah oleh tetapan kontrak yang boleh diubah suai.