Платформа для запуска мемкоинов DxSale стала жертвой масштабного взлома на сети BNB Chain, в результате которого было похищено около $7,3 млн, затронув примерно 1400 поставщиков ликвидности. Инцидент привлек внимание к уязвимостям устаревших контрактов блокировки ликвидности, которые годами оставались без внимания, но сохраняли контроль над средствами пользователей.
По данным аналитической компании PeckShield, атакующий адрес 0xC457…FA69 вывел 2958 BNB (около $1,87 млн) на два основных кошелька, после чего средства были переведены на несколько депозитных адресов биржи Binance. Ончейн-аналитик Tahax отметил, что дальнейшее отслеживание средств осложнено, так как часть активов уже прошла через инфраструктуру, затрудняющую идентификацию.
Расследование показало, что атака не была спонтанной: за 269 дней до инцидента развертыватель DxSale тайно перевел право собственности на ключевой контракт блокировки на новый кошелек без официального уведомления. Затем права администратора еще около 80 раз передавались между разными адресами для маскировки, пока контроль не сконсолидировался у кошелька, с которого начались массовые выводы.
Технический разбор от компании Coinsult раскрыл механизм эксплуатации: атакующий использовал непривилегированную функцию setFee и манипуляции с временной меткой блокировки. Сначала комиссия была снижена до 1 wei, затем срок блокировки сброшен до 68 секунд после начала эпохи Unix, после чего комиссию подняли до экстремального значения ~1e29 для нарушения нормальной работы контракта. После модификации внутреннего состояния «заблокированная» ликвидность стала доступна для вывода — средства конвертировались в WBNB и BNB и выводились через несколько цепочек для заметания следов.
Эксперты подчеркивают, что модель безопасности DxSale в значительной степени зависела от административных прав, а не от неизменяемого кода. Это позволило злоумышленникам изменить параметры контракта и вывести заблокированные активы. Инцидент произошел на фоне тревожной статистики: в мае 2026 года из DeFi-протоколов уже украли $52 млн, а в апреле потери достигли $634 млн — рекордного уровня за последний год. Дополнительную обеспокоенность вызывают предупреждения об использовании ИИ для поиска уязвимостей в старых кодовых базах и недостаточной прозрачности миграций.
Ситуация с DxSale служит напоминанием о том, что забытая инфраструктура может нести реальные риски для балансов пользователей даже спустя годы после активного использования.
