لاکھوں غائب: BNB چین کو DxSale سے متعلقہ سیکورٹی کی خلاف ورزی میں $7.3M کا نقصان ہوا

فہرست فہرست DxSale کے BNB چین پر لیگیسی لیکویڈیٹی لاکر کو پرانی لیکویڈیٹی پوزیشنز میں $7.3 ملین کے استحصال کا سامنا کرنا پڑا۔ آن چین تفتیش کاروں نے اطلاع دی کہ حملہ آوروں نے 1,400 سے زیادہ لیکویڈیٹی پولز کو نشانہ بنایا جو پرانے لاکر معاہدوں سے منسلک تھے۔ اس واقعے نے معاہدے کی ملکیت میں ہونے والی تبدیلیوں، پرانے ڈی فائی انفراسٹرکچر، اور ممکنہ اندرونی سطح تک رسائی کے بارے میں نئے سوالات کو جنم دیا ہے۔ Blockchain سیکورٹی فرم PeckShield اور آن چین تجزیہ کار Tahax نے DxSale کے میراثی لاکر معاہدوں پر استحصال کی اطلاع دی۔ حملہ آوروں نے لیکویڈیٹی فراہم کرنے والے پرانے عہدوں سے اثاثے نکال لیے جو BNB چین پر مقفل تھے۔ ابتدائی BNB چین ٹوکن بوم کے دوران DxSale نے وسیع استعمال حاصل کیا۔ بہت سے memecoin پروجیکٹس نے LP ٹوکن کو لاک کرنے اور ٹوکن ہولڈرز کو یقین دلانے کے لیے پلیٹ فارم کا استعمال کیا۔ ان میں سے کئی معاہدے 2021 کے مارکیٹ سائیکل کے ہیں۔ بہت ساری پوزیشنیں برسوں تک اچھوتی رہیں، جس نے پرانے معاہدے کے ڈھانچے کے اندر کافی لیکویڈیٹی چھوڑ دی۔ تفتیش کاروں نے حملہ آور کے بنیادی پتے کو کئی پوسٹ ایکسپلائیٹ لین دین سے ٹریس کیا۔ پتہ 2,958 BNB، جس کی مالیت تقریباً 1.87 ملین ڈالر ہے، دو اہم بٹوے میں منتقل کر دی گئی۔ اس کے بعد فنڈز ایک سے زیادہ Binance ڈپازٹ پتوں سے منسلک راستوں کے ذریعے منتقل ہوئے۔ علیحدہ ٹریکنگ نے سویپ اور مکسر سے متعلق سرگرمی کو بھی دکھایا، بشمول AnySwap روٹس۔ محققین نے بتایا کہ حملہ آوروں نے بیچوں میں لیکویڈیٹی ختم کرنے کے لیے کسٹم کنٹریکٹس کا استعمال کیا۔ انہوں نے غیر مقفل ٹائم اسٹیمپ میں بھی ہیرا پھیری کی اور فیس کو صفر کے قریب کم کر دیا۔ Tahax نے رپورٹ کیا کہ DxSale کے تعینات کرنے والے نے اگست 2025 میں لیگیسی لاکر کنٹریکٹ کی ملکیت منتقل کر دی تھی۔ یہ منتقلی حملے سے تقریباً 269 دن پہلے ہوئی تھی۔ تحقیقات کے مطابق، منتقلی DxSale کی جانب سے عوامی بیان کے ساتھ نہیں آئی۔ اس کے بعد نئے پتے پر پہنچنے سے پہلے ملکیت تقریباً 89 تازہ بٹوے میں منتقل ہوئی۔ اس حتمی پتے کو مرکزی نالے سے کچھ دیر پہلے بائیبٹ اور پل کی سرگرمی کے ذریعے فنڈنگ ​​حاصل ہوئی۔ محققین نے اس فنڈنگ ​​پیٹرن کو بعد کے حملے کے بہاؤ سے جوڑ دیا۔ Tahax نے بٹوے کی حرکت کو پگڈنڈی کو چھپانے کی کوشش قرار دیا۔ تفتیش کار نے X پر ایک پوسٹ میں لکھا، "ہر ہاپ قابلِ تردید کا اضافہ کرتی ہے۔" اس استحصال کا مرکز اجازت کے مسئلے کے ساتھ غیر تصدیق شدہ بند معاہدے پر تھا۔ حملہ آوروں نے اس کمزوری کو پہلے سے بند جگہوں پر نئے تالے بنانے کے لیے استعمال کیا۔ کمیونٹی کے محققین نے اندرونی رسائی کے پرانے دعووں کی طرف بھی اشارہ کیا۔ اگست 2025 میں، ایک صارف نے مبینہ طور پر ٹیلیگرام سروس کے اسکرین شاٹس شیئر کیے جو پرانے DxSale LPs کو غیر مقفل کرنے کی پیشکش کرتی ہے۔ آن-چین تفتیش کار آئیونچین نے اطلاع دی کہ ٹیلیگرام آپریٹر نے DxSale ٹیم سے روابط کا دعویٰ کیا ہے۔ اس شخص نے مبینہ طور پر 2021 کے اواخر سے پہلے شروع کیے گئے پروجیکٹس سے ایل پیز کو غیر مقفل کرنے کی پیشکش کی۔ صرف بیان کردہ شرط میں DxSale لانچ کے دوران استعمال ہونے والے اصل بٹوے تک رسائی شامل تھی۔ Eyeonchain نے لکھا کہ تازہ ترین استحصال نے پرانے دعووں کو زیادہ متعلقہ ظاہر کیا ہے۔ اس نے حملے کے پیچھے اندرونی سطح کے علم کا امکان بھی اٹھایا۔ جائزہ لیا گیا رپورٹس میں DxSale نے اپنے سوشل چینلز پر باضابطہ عوامی ردعمل جاری نہیں کیا تھا۔ خاموشی نے ملکیت کی پگڈنڈی اور معاہدے کے ڈیزائن پر توجہ دی۔ یہ واقعہ بٹوے، پلوں اور اسٹیکنگ پلیٹ فارمز کے دیگر حالیہ DeFi کارناموں کی پیروی کرتا ہے۔ StablR، SquidRouterModule، Kelp DAO، اور Drift Protocol کو بھی بڑے نقصانات کا سامنا کرنا پڑا۔ سیکیورٹی محققین نے DxSale واقعے کو پرانے DeFi سسٹمز میں خطرات سے جوڑ دیا۔ انہوں نے گمشدہ ٹائم لاک، ملکیت کے کمزور کنٹرولز، اور میراثی معاہدوں کے ارد گرد پرانی نگرانی کی طرف اشارہ کیا۔ ماہرین نے DxSale LP کے پرانے عہدوں کے حامل صارفین کو مشورہ دیا کہ وہ BscScan پر اپنے معاہدوں کا جائزہ لیں۔ انہوں نے پروجیکٹس پر بھی زور دیا کہ وہ قابل رسائی فنڈز نکال لیں اور باقی اثاثوں کو آڈٹ شدہ لاکنگ ٹولز میں منتقل کریں۔