Am 30. Oktober 2021 verlor die BSC-basierte DEX BXH („BiNANCE X Hyperchain") etwa 139 Millionen US-Dollar, als ein Admin-Private-Key kompromittiert wurde. Der Angreifer nutzte ihn, um die gepoolte Liquidität des Protokolls direkt abzuheben. BXHs CEO erklärte öffentlich, der Schlüssel sei wahrscheinlich über ein kompromittiertes Administratorkonto durchgesickert.
Was geschah
BXH behielt eine privilegierte Admin-Authority über seine Liquiditätsverträge. Der Schlüssel wurde kompromittiert; der Angreifer rief legitime privilegierte Abhebungsfunktionen auf und entzog ~139 Mio. USD über die Pools der DEX — kein Vertragsbug erforderlich.
Folgen
- BXH pausierte, bot eine Bounty an und verfolgte Rückgewinnung; minimale Rückflüsse.
- Trotz der Größe ist BXH relativ unerinnert im Vergleich zu ähnlich großen Vorfällen 2021-2022.
Warum es wichtig ist
BXH ist eine neunstellige Einzel-Admin-Key-Kompromittierung, die genau auf derselben Linie wie EasyFi (81 Mio. USD), Bybit (1,46 Mrd. USD) und die Dutzende kleinerer Einträge sitzt: Das Sicherheitsmodell ist die Schlüsselverwahrung, nicht der Vertrag. Mit 139 Mio. USD ist es einer der größten Verluste im Katalog, jedoch strukturell identisch mit einem 300K-USD-Farm-Rug. Seine relative Obskurität (versus Ronin, Wormhole) ist selbst lehrreich — Vorfalls-Berühmtheit korreliert mit Narrative, nicht mit Magnitude, was ein Teil davon ist, warum dieselbe Ursache von Buildern, die sich an die berühmten Bridge-Hacks erinnern, aber nicht an die gleich großen Schlüssel-Kompromittierungen, immer wieder unterschätzt wird.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-bxh-hack-october-2021
- [02]coindesk.comhttps://www.coindesk.com/tech/2021/11/01/139m-bxh-exchange-hack-was-the-result-of-leaked-admin-key
- [03]forkast.newshttps://forkast.news/bxh-exploit-estimated-139m-admin-key-leakage/