26–28 мая 2026 года злоумышленник получил полные права владельца над устаревшим locker-контрактом DxSale и вывел более 1 400 продуктов чужой заблокированной ликвидности. Общий ущерб составил ~$7.3 млн.
Что такое DxSale Locker и что случило
DxSale — это платформа для запуска крипто-проектов. Среди прочего она предоставляет сервис Locker — это своего рода сейф для ликвидности. Проект блокирует свои LP-токены в Locker, демонстрируя инвесторам: «мы не уйдём с деньгами, они заморожены на годы».
LP-токен — это документ, подтверждающий: «я внёс деньги в торговый пул и имею право забрать свою долю обратно». Кто получает этот токен — может вывести деньги из пула.
Что произошло пошагово:
26 мая права владельца (owner) над старым locker-контрактом 0xeb3a9c56d963b971d320f889be2fb8b59853e449 были переданы новому адресу — 0xC4574DDEF299e7E563971e200433e592EeaaFA69. Кто стоит за этим адресом — неизвестно.
28 мая злоумышленник, уже владея контрактом, начал массово выводить LP-токены из локера, снимать ликвидность из пулов и обменивать полученные активы через DEX. Было затронуто более 1 400 старых lock-позиций.
Почему это стало возможным
Старый locker-контракт не был полностью неизменяемым: у него был активный owner — аккаунт с широкими правами управления. Обычно пользователи думают: «если мои LP-токены заморожены на 2 года, никто не может их забрать». Это не так: владелец контракта может изменить параметры и использовать функцию unlockToken — экстренное разблокирование токенов вне зависимости от срока.
Суть атаки очень проста: безопасность замороженных LP-токенов зависела не только от срока блокировки, но и от того, кто контролирует owner-адрес контракта. Как только этот адрес попал в неправильные руки — все замороженные средства стали доступны.
Детали расследования: движение средств
1️⃣ Перед атакой основной кошелёк был пополнен: 104 BNB пришло с биржи Bybit — стартовый капитал для оплаты комиссий за транзакции.
2️⃣ Злоумышленник вывел LP-токены более чем 1 400 позиций, снял ликвидность из пулов и конвертировал всё в BNB/WBNB (WBNB — токенизированный BNB, аналог WETH).
3️⃣ Собранные BNB были распределены на два адреса:
- 0xb71c1C2A0cD7A88f1317f9A996e4d121E7db5E92
- 0x4c5ee9703653C8e7725C65593bff372655e0453C
4️⃣ С этих адресов ~2 965 BNB (~$1.89 млн) уже отправлено на Binance — это фактически реализованная часть.
5️⃣ На основном адресе атакующего на момент расследования остаётся более 1 264 WBNB (~$805 тыс.), общая стоимость активов на адресе превышает ~$839 тыс. Адрес продолжает пополняться.
Заключение
Атака на DxSale Legacy Locker — наглядный пример того, что замороженная ликвидность не всегда значит защищённая. Безопасность lock-позиций зависела от того, кто контролирует owner-адрес контракта — а не только от срока блокировки.
То, что ~$1.89 млн уже отправлено на Binance, даёт бирже возможность заморозить средства при наличии сотрудничества с правоохранителями. Команда «КоинКит» продолжает отслеживать адреса злоумышленника.
