Exploitation de DxSale : Un Vol de 7,3 Millions de Dollars
DxSale a subi une exploitation de 7,3 millions de dollars après qu’un attaquant a utilisé une porte dérobée dissimulée dans un contrat de locker de liquidité pour retirer des BNB verrouillés par plus de 1 400 fournisseurs de liquidité sur la BNB Chain. Selon la société de sécurité blockchain PeckShield, l’adresse contrôlée par l’attaquant, « 0xC457 », a déplacé environ 1,87 million de dollars en BNB vers deux portefeuilles principaux avant d’envoyer les fonds vers plusieurs adresses de dépôt associées à Binance.
Cet incident a affecté la liquidité qui était restée verrouillée dans les contrats de DxSale depuis que la plateforme était largement utilisée pour les lancements de tokens sur la BNB Chain en 2021. Les premières conclusions de l’analyste blockchain Tahax suggèrent que l’exploitation pourrait avoir été déclenchée par un changement de propriété du contrat survenu des mois avant l’attaque.
« Voici comment l’exploitation s’est déroulée : il y a 269 jours, le déployeur de DxSale a discrètement transféré la propriété du locker à un nouveau portefeuille… Pas d’annonce, pas de notification de migration, juste un transfert silencieux. »
Analyse de l’Incident
DERNIÈRE MINUTE : l’attaquant vient de vider environ 7,3 millions de dollars des OG LPs. DxSale a géré le plus grand locker de liquidité de 2021, avec des centaines de millions à l’intérieur. Même $SAFEMOON était verrouillé ici. L’équipe mélange maintenant les fonds à travers ce qui semble être une infrastructure complexe, rendant les fonds désormais introuvables.
En traçant l’historique de propriété plus loin, Tahax a déclaré que plus de 80 transactions supplémentaires avaient été utilisées pour transférer le contrôle entre les portefeuilles avant d’atteindre finalement l’adresse identifiée comme « 0xC45 », qui a ensuite exécuté les retraits massifs de BNB. L’analyste a également noté que le portefeuille de l’exploitant avait été nouvellement créé et initialement financé par l’échange de crypto Bybit.
Une analyse supplémentaire de la société de sécurité Web3 Coinsult a lié l’exploitation à une fonction de contrat privilégiée et à une période de verrouillage manipulée. Selon Coinsult, cette combinaison a permis aux fonds qui devaient rester verrouillés d’être traités comme des soldes retirables.
La Porte Dérobée et ses Conséquences
Concernant cette porte dérobée du locker de DxSale, nous l’avons analysée sur la chaîne. Voici notre avis : Le drain : 0xc2efbd94…01e4718, non vérifié, solc 0.8.33, déployé il y a environ 9 heures par 0xC4574DD…aaFA69. Il hardcode le locker de la victime comme immuable + WBNB pour le routage, et verrouille chaque fonction.
La société de sécurité a déclaré qu’un mécanisme privilégié « setFee », combiné à une configuration de verrouillage rétroactive, a permis des actions de retrait répétées qui ont finalement vidé les réserves de BNB. Tahax a allégué qu’une porte dérobée avait été laissée dans le contrat de déploiement, créant des conditions propices à l’exploitation.
Au moment où les enquêteurs ont identifié le chemin de l’attaque, certains des fonds volés avaient déjà été déplacés à travers une infrastructure qui pourrait compliquer les efforts de suivi, selon Tahax.
Contexte et Répercussions dans le Secteur DeFi
Cette dernière violation survient alors que les plateformes de finance décentralisée continuent de faire face à des incidents de sécurité sur plusieurs réseaux. Les données de DefiLlama montrent que les protocoles DeFi ont perdu environ 52 millions de dollars à cause d’exploitations jusqu’à présent en mai, après environ 634 millions de dollars de pertes enregistrées en avril, le total mensuel le plus élevé depuis février 2025.
Les préoccupations en matière de sécurité se sont intensifiées cette semaine après que Stake DAO a révélé une exploitation impliquant son token sdCRV boosté par vote sur Arbitrum. La société de sécurité blockchain Blockaid a rapporté qu’un attaquant avait frappé plus de 5,4 trillions de tokens vsdCRV et avait commencé à les échanger contre de l’ETH, tandis que Stake DAO a exhorté les utilisateurs à ne pas interagir avec l’actif pendant que les enquêteurs suivaient les transactions à travers Arbitrum et Ethereum.
Par ailleurs, Wasabi Protocol a signalé des pertes dépassant 5 millions de dollars après qu’une clé administrative compromise a permis aux attaquants de mettre à niveau des contrats et de vider des fonds à travers Ethereum, Base, Berachain et Blast.
Au milieu de cette série d’incidents récents, le co-fondateur d’OpenZeppelin, Manuel Aráoz, a averti que les avancées dans la découverte de vulnérabilités assistée par l’IA rendent les attaques plus faciles à exécuter. Dans des commentaires cités plus tôt par crypto.news, Aráoz a déclaré qu’il considère désormais « toute la DeFi » comme non sécurisée, car les attaquants ont de plus en plus accès à des outils puissants qui peuvent identifier les faiblesses logicielles avant que les développeurs ne puissent les corriger.
Selon DefiLlama, les exploitations de crypto ont entraîné plus de 17 milliards de dollars de pertes cumulées, dont environ 7,8 milliards de dollars volés uniquement aux protocoles DeFi.
