Le 30 octobre 2021, le DEX sur BSC BXH (« BiNANCE X Hyperchain ») a perdu environ 139 millions de dollars lorsqu'une clé privée admin a été compromise. L'attaquant l'a utilisée pour retirer directement la liquidité poolée du protocole. Le CEO de BXH a publiquement déclaré que la clé avait probablement fuité via un compte administrateur compromis.
Ce qui s'est passé
BXH conservait une autorité admin privilégiée sur ses contrats de liquidité. La clé a été compromise ; l'attaquant a invoqué des fonctions de retrait privilégiées légitimes et drainé ~139 M$ sur les pools du DEX — aucun bug de contrat requis.
Conséquences
- BXH a mis en pause, offert une prime et poursuivi la récupération ; retours minimes.
- Malgré la taille, BXH est comparativement peu mémorisé par rapport aux incidents 2021-2022 de taille similaire.
Pourquoi c'est important
BXH est une compromission à neuf chiffres d'une seule clé admin qui se situe sur exactement la même ligne que EasyFi (81 M$), Bybit (1,46 Md$) et les dizaines d'entrées plus petites : le modèle de sécurité est la garde de la clé, pas le contrat. À 139 M$, c'est l'une des plus grandes pertes du catalogue, pourtant structurellement identique à un rug de farm à 300 K$. Son obscurité relative (versus Ronin, Wormhole) est elle-même instructive — la notoriété d'un incident corrèle avec le récit, pas la magnitude, ce qui est en partie pourquoi la même cause racine continue d'être sous-pondérée par les builders qui se souviennent des hacks de ponts célèbres mais pas des compromissions de clés tout aussi grandes.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-bxh-hack-october-2021
- [02]coindesk.comhttps://www.coindesk.com/tech/2021/11/01/139m-bxh-exchange-hack-was-the-result-of-leaked-admin-key
- [03]forkast.newshttps://forkast.news/bxh-exploit-estimated-139m-admin-key-leakage/