DxSale平台因合约后门遭黑客攻击，逾千万美元资产被窃

据披露，攻击者利用某流动性锁定合约中的隐蔽后门，从BNB链上提取了超过1400名流动性提供者的BNB资产，造成DxSale平台约730万美元的经济损失。

事件背景与影响范围

此次针对BNB链的攻击波及约1400名流动性提供者，总损失金额达730万美元。研究人员追踪到攻击源头为合约中未公开的权限变更操作及隐藏后门机制。该事件发生在五月以来去中心化金融协议接连遭受攻击的背景下，相关项目累计损失已攀升至5200万美元。

区块链安全机构PeckShield指出，攻击者控制的地址“0xC457”在资金转移前，已将价值约187万美元的BNB转入两个主要钱包。这些被锁定的资产自DxSale于2021年启动代币发行业务以来，长期存于其合约中，未曾解冻。

区块链分析师Tahax的初步分析显示，漏洞可能源于数月前的合约所有权变更。进一步追溯发现，攻击者在掌控最终控制地址“0xC45”前，曾通过超过80笔交易在多个钱包间转移控制权。该攻击者钱包为新创建账户，初始资金来自加密货币交易所Bybit。

合约设计缺陷成攻击温床

Web3安全公司Coinsult的补充分析将漏洞归结于特权功能与异常锁定周期配置的结合。报告指出，这一组合使本应锁定的资金被错误识别为可提取余额。安全团队强调，具有高权限的“费用设置”机制配合回溯性锁定参数，允许攻击者重复执行提款操作，最终耗尽合约中的全部BNB储备。Tahax还确认，部署时遗留的未公开后门为攻击提供了关键入口。

调查过程中发现，部分被盗资金已通过多层跳转基础设施转移，显著增加了追踪难度。

DeFi生态安全形势持续恶化

此次攻击发生之际，去中心化金融平台正面临多重网络安全威胁。DefiLlama数据显示，五月至今，各类协议因攻击造成的损失已达约5200万美元；而四月份损失额高达6.34亿美元，创下2025年以来单月最高纪录。

本周安全事件再度升级：Stake DAO披露其Arbitrum网络上的sdCRV代币遭遇攻击，攻击者伪造投票机制并铸造超过5.4万亿枚vsdCRV代币，随后兑换为ETH；Wasabi Protocol因管理密钥泄露，导致攻击者篡改合约并在多个链上盗取超500万美元资产。

近期一系列事件引发行业警觉。OpenZeppelin联合创始人Manuel Aráoz警告称，人工智能驱动的漏洞探测工具正在降低攻击门槛。他指出，攻击者已能借助先进分析技术，在开发者修复前精准定位系统缺陷，认为当前“整个去中心化金融体系”均处于潜在风险之中。

根据DefiLlama统计，全球范围内由智能合约漏洞引发的攻击已累计造成超170亿美元损失，其中仅去中心化金融协议被盗金额就接近78亿美元。