Ai总结： DxSale平台因合约后门漏洞遭遇重大攻击，导致约730万美元资产被窃。调查显示，攻击者利用所有权转移与特权功能结合的缺陷，清空资金池。事件凸显DeFi领域持续面临的安全挑战。

DxSale平台因隐蔽后门遭攻击，逾730万美元资产被盗

据最新披露，攻击者通过某流动性锁定合约中的隐藏漏洞，在BNB链上提取了超过1400名流动性提供者的质押资产，造成DxSale平台约730万美元经济损失。

漏洞溯源指向未公开的所有权变更与合约后门

此次攻击波及近1400名流动性参与者，总损失金额达730万美元。研究团队将攻击源头归结于合约中长期存在的隐蔽后门以及此前未披露的控制权转移行为。该事件发生在五月以来去中心化金融领域接连遭受网络攻击的背景下，相关协议累计损失已攀升至5200万美元。

区块链安全机构PeckShield指出，攻击者控制的地址“0xC457”在资金分拆前，已将价值约187万美元的BNB转入两个主要钱包。这些被锁定的资产自DxSale于2021年启动BNB链代币发行计划以来，一直处于不可动用状态。

独立分析师Tahax的追踪发现，漏洞可能源于数月前的一次合约控制权变更。其调查表明，攻击者在最终掌控“0xC45”地址之前，曾通过超过80笔交易在多个钱包间转移权限。此外，该攻击者钱包为新创建账户，初始资金来源为加密货币交易所Bybit。

特权机制与锁定逻辑缺陷构成双重安全缺口

Web3安全公司Coinsult的补充分析揭示，漏洞核心在于特权功能与被篡改的锁定周期之间的不兼容设计。这两项因素共同作用，使本应锁定的资金被错误识别为可提取余额。安全团队强调，具有高权限的“费用设置”接口配合回溯性锁定配置，允许攻击者重复发起提款操作，最终耗尽合约内的全部BNB储备。

同时，调查人员确认，部署时遗留的未公开后门为攻击路径提供了关键入口。部分被盗资金已被经由复杂路由基础设施转移，增加了追踪难度。

DeFi生态安全危机持续蔓延，多项目接连遇袭

当前，去中心化金融平台正面临多重网络上的系统性安全威胁。DefiLlama数据显示，五月至今已有超5200万美元因攻击损失，而四月份损失额高达6.34亿美元，创下2025年以来单月最高纪录。

本周安全风险进一步升级：Stake DAO披露其Arbitrum网络上的sdCRV代币遭攻击，攻击者伪造投票机制并铸造超过5.4万亿枚vsdCRV，随后兑换为ETH；Wasabi Protocol因管理密钥泄露，攻击者成功升级合约并在多个链上盗取超500万美元资产。

OpenZeppelin联合创始人Manuel Aráoz警告称，人工智能驱动的漏洞探测技术正显著降低攻击门槛。他指出，攻击者如今能借助先进工具在开发者修复前快速定位代码缺陷，因此“整个去中心化金融体系”都处于潜在风险之中。

根据DefiLlama统计，全球范围内因智能合约漏洞造成的累计损失已突破170亿美元，其中仅去中心化金融协议就占约78亿美元。