Aller au contenu
Fondé MMXXVIVol. VI · № 291RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 280Compromission de clé privée

Exploit du verrou de liquidité DxSale

Un attaquant contrôlant un ancien verrou de liquidité DxSale sur BNB Chain a vidé environ 7,3 M$ de BNB de plus de 1 400 pools verrouillés, sur fond de soupçons d'implication interne.

Date
Victime
DxSale
Chaîne(s)
BNB Chain
Statut
Fonds dérobés

Le 27 mai 2026, DxSale, un service de longue date de launchpad et de verrouillage de tokens sur BNB Chain, a perdu environ 7,3 millions de dollars lorsqu'un attaquant a vidé du BNB de plus de 1 400 anciennes positions de verrou de liquidité datant de 2021.

Ce qui s'est passé

Les fonds se trouvaient dans un ancien contrat de verrou de liquidité de DxSale. Environ 269 jours avant le vidage, le déployeur de DxSale a discrètement appelé transferOwnership pour confier le contrôle de l'ancien verrou à un nouveau portefeuille, sans annonce publique ni avis de migration. Le contrôle est ensuite passé par plus de 80 transactions avant d'atteindre l'adresse de l'attaquant (0xC457…). Disposant des privilèges de propriétaire, l'attaquant a manipulé les horodatages de déverrouillage et réduit les frais de retrait à près de zéro, puis a utilisé la délégation par lots EIP-7702 et des contrats personnalisés pour déverrouiller et vider des centaines de pools en un seul flux coordonné. Les traqueurs on-chain ont suivi environ 1,87 million de dollars de BNB vers des portefeuilles intermédiaires, puis vers des adresses de dépôt Binance.

Conséquences

Des chercheurs ont relevé de forts indices d'implication interne — notamment des offres sur Telegram remontant à août 2025 prétendant disposer d'un accès interne pour déverrouiller d'anciens LP DxSale — tandis que d'autres ont noté que le même résultat pouvait découler d'une compromission de la clé privée du compte propriétaire privilégié. Les verrous vidés étaient des positions héritées ; les équipes de tokens et les fournisseurs de liquidité touchés ont eu peu de recours, et aucune récupération n'a été signalée.

Pourquoi c'est important

DxSale rappelle qu'une infrastructure d'apparence abandonnée peut encore porter une clé privilégiée active. Un verrou existe pour garantir que les fonds ne peuvent pas bouger — un transfert de propriété silencieux inverse donc discrètement toute la promesse de sécurité. Le schéma d'accès privilégié reflète des vidages par clé d'administrateur comme Munchables et l'abus de clé de propriétaire chez Atlantis Loans, tandis que l'ambiguïté proche du rug rappelle des sorties soupçonnées d'implication interne comme Merlin DEX. Fuite ou complot interne, la leçon est identique : un verrou ne vaut que la clé qui le protège.

Sources & preuves on-chain

  1. [01]rekt.newshttps://rekt.news/dxsale-rekt
  2. [02]crypto.newshttps://crypto.news/dxsale-exploit-drains-7-3m-in-bnb-through-hidden-contract-backdoor/
  3. [03]cryptotimes.iohttps://www.cryptotimes.io/2026/05/29/hackers-drain-7-3m-from-dxsales-old-bnb-chain-liquidity-lockers/
  4. [04]invezz.comhttps://invezz.com/news/2026/05/29/dxsale-loses-7-3m-in-bnb-chain-liquidity-providers-lps-hack/

Dépôts liés