Взлом DxSale на $7,3 млн: классический хак или инсайдерский «выход» команды?

В DeFi есть особый сорт взломов, которые бьют больнее обычных, — те, где под удар попадают средства, которые годами считались надёжно заблокированными. Именно это произошло с протоколом DxSale: злоумышленник опустошил пулы ликвидности, запертые ещё в 2021 году, и вывел $7,3 млн. Но самое тревожное в этой истории — не сумма, а то, на кого указывают следы. И указывают они в крайне неудобную сторону.

Как именно увели средства

По данным специалистов по безопасности, атака стала возможной из-за критической бреши в смарт-контрактах DxSale — фактически отсутствия должной защиты на уровне самого кода. Это позволило вытащить деньги из старых пулов, заблокированных четыре года назад.

Сценарий выглядел продуманно, а не импульсивно:

• сначала прошла «тихая передача прав собственности» на контракты — то есть контроль над ними сменился без лишнего шума;
• затем средства прогнали через более 80 переводов между кошельками, чтобы запутать след;
• заметная часть похищенного в токенах BNB ушла через депозитные адреса Binance.

Уже сама механика говорит о многом. Случайный хакер, наткнувшийся на уязвимость, редко возится с цепочкой из восьмидесяти транзакций и перехватом владения контрактом. Такой почерк выдаёт того, кто хорошо понимал внутреннее устройство проекта и заранее планировал отход.

След ведёт к самой команде

Здесь история перестаёт быть рядовым DeFi-хаком. Аналитики Eye обратили внимание на ключевую деталь: адрес атакующего напрямую связан с командой DxSale.

Логика расследователей строится на трёх фактах:

1. кошелёк-атакующий долго не проявлял активности — типичная «спящая» история, которую оживляют под конкретную задачу;
2. он имел прямую связь с кошельком разработчиков проекта;
3. более того, это был один из исходных адресов, через которые в смарт-контракт DxSale изначально заливались средства.

Вывод исследователей жёсткий и почти не оставляет полутонов: либо команда допустила утечку приватных ключей, либо сама организовала вывод. Третьего варианта, который снимал бы с разработчиков ответственность, в этой картине практически не просматривается.

И вот в чём горькая ирония. DxSale была не каким-то рядовым контрактом, а одной из крупнейших площадок для запуска токенов и блокировки ликвидности на BNB Chain. Проекты приходили туда именно за доверием: замок на LP-токенах служил для розничных инвесторов сигналом «команда не сбежит с деньгами». Получается, инструмент, созданный, чтобы гарантировать честность других, сам стал точкой провала.

Можно ли вернуть деньги

Единственная реальная зацепка для пострадавших — то, что часть средств проходила через Binance. Поэтому специалисты по безопасности публично призвали биржу срочно заморозить связанные с инцидентом депозитные адреса: эти деньги по факту принадлежат инвесторам и сторонним проектам, а не атакующему.

Это, к слову, наглядная иллюстрация одного из главных парадоксов индустрии. DeFi строится на идее, что «код — это закон» и никто не может вмешаться в ваши транзакции. Но когда что-то идёт не так, единственной надеждой на возврат денег нередко оказывается именно централизованная биржа с правом заморозить адрес. Децентрализация защищает от цензуры — и она же лишает встроенной кнопки «отменить».

Не единичный случай: тревожный фон недели

DxSale вписывается в более широкую картину. Незадолго до этого аналитики компании PeckShield сообщили о взломе RetoSwap — анонимной p2p-биржи, заточенной под приватную монету Monero (XMR). Оттуда вывели 7000 XMR на сумму около $2,7 млн.

Два инцидента подряд — и оба в наименее «прозрачных» сегментах рынка: один на пулах ликвидности с сомнительным контролем, другой на платформе приватных транзакций. Это совпадение хорошо подсвечивает уязвимое место отрасли.

Что из этого вынести инвестору

Главный урок DxSale неприятен, но важен: «ликвидность заблокирована» — не равно «средства в безопасности». Замок защищает ровно настолько, насколько надёжен код контракта и честны те, у кого на руках ключи. Если право собственности можно «тихо передать», а исходные кошельки команды по-прежнему имеют доступ к деньгам, то любая красивая надпись о блокировке — лишь маркетинг, а не гарантия.

Практический вывод для частного инвестора простой: смотреть не только на факт блокировки, но и на прозрачность команды, аудит смарт-контрактов и распределение прав доступа. А средства, которые не находятся в активной работе, разумнее держать там, где вы контролируете ключи самостоятельно, — на собственном некастодиальном кошельке, а не в чужом контракте, доверяя обещанию «всё заперто».

DxSale — ещё одно напоминание, что в крипте чаще всего «взламывают» не математику блокчейна, а человеческий фактор и недосмотр в коде. И пока расследование не поставит точку, история остаётся открытым вопросом: то ли это утечка ключей, то ли тщательно срежиссированный уход команды под видом хакерской атаки.