DxSale, protocole de lancement de tokens sur BNB Chain, a subi le 29 mai 2026 un siphonnage massif de ses verrous de liquidités legacy : 7,3 M$ dérobés en exploitant plus de 1 400 positions LP anciennes, via des déblocages manipulés et des retraits en batch. La firme de sécurité GoPlus signale par ailleurs que 15,5 M$ supplémentaires restent en danger immédiat.
En bref
Les attaquants ont ciblé les anciens contrats de verrouillage de liquidités de DxSale sur BNB Chain, drainant 7,3 M$ en une opération méthodique. La piste d’un acteur interne est jugée crédible par GoPlus, au vu notamment de l’origine des fonds de départ : Bybit. Enfin, 15,5 M$ de fonds et de positions LP de projets tiers restent exposés et nécessitent une action immédiate.
Comment l’attaque a-t-elle été menée ?
Les attaquants ont ciblé les contrats de verrouillage LP anciens de DxSale, une infrastructure utilisée par de nombreux projets pour sécuriser leurs liquidités lors de lancements de tokens. En recourant à des mécanismes de déblocage manipulés combinés à des retraits en batch, ils ont vidé plus de 1 400 positions distinctes sur BNB Chain.
L’opération se distingue par son caractère systématique : plutôt qu’une faille unique exploitée en une transaction, c’est une mécanique itérative qui a permis de drainer les verrous les uns après les autres. Ce mode opératoire évoque davantage une connaissance intime du système qu’une attaque opportuniste externe, ce qui alimente la piste de la complicité interne.
Pourquoi GoPlus soupçonne-t-il un acteur interne ?
La firme de sécurité GoPlus pointe 2 éléments qui orientent vers une compromission interne. D’abord, les fonds initiaux de l’attaquant proviennent de Bybit, ce qui ouvre la voie à une traçabilité KYC si les équipes concernées engagent les démarches adéquates. Ensuite, les sorties finales transitent par plusieurs adresses Binance, ce qui constitue un autre levier de gel potentiel.
GoPlus recommande aux équipes de sécurité de soumettre des preuves on-chain pour demander le blocage des adresses identifiées. La société identifie 4 contrats suspects à surveiller en priorité : 0xEb3a9C56, 0x81E0eF68, 0x2D045410 et 0x5b5e9448. Tout projet ayant verrouillé ses LP sur ces adresses est invité à agir sans délai. Ce type de vecteur n’est pas nouveau : des mécanismes d’accès privilégié non protégés ont déjà causé des dommages comparables, comme lors du hack Kelp DAO qui avait paralysé Aave et effacé 6,6 milliards de TVL.
Quels projets sont encore en danger ?
Selon GoPlus, 15,5 M$ de fonds et de positions LP appartenant à des projets tiers restent exposés et nécessitent une intervention immédiate. La recommandation est double : vérifier si les LP du projet sont verrouillés sur les 4 contrats cités, et retirer les actifs sans attendre si c’est le cas.
La société de sécurité formule également une mise en garde structurelle : toute fonction d’administration critique doit être protégée par un time-lock, et les droits Owner doivent impérativement passer par un système de multi-signature. Ce sont précisément les lacunes qui ont rendu l’attaque possible ici. Ce manque de garde-fous est un angle mort récurrent dans l’écosystème : le hack BitMart de 200 M$ avait déjà exposé les failles des hot wallets peu sécurisés, et la compromission du site Bitcoin.org avait illustré les risques liés aux accès d’administration non cloisonnés.
L’incident DxSale s’inscrit dans une tendance préoccupante touchant les protocoles de lancement de tokens, souvent construits rapidement et peu audités. À titre de comparaison, le hack de PancakeSwap avait contraint à la déconnexion totale de la plateforme, signe que même les projets établis sur BNB Chain ne sont pas à l’abri. Des cas plus anciens, comme le fiasco Levyathan sur la BSC ou le protocole DeFi nettoyé dès son lancement, rappellent que les contrats non audités constituent des cibles privilégiées.
À retenir
DxSale perd 7,3 M$ dans une attaque sur ses anciens verrous de liquidités BNB Chain. La piste interne est sérieuse, les fonds étant traçables via Bybit et Binance. Avec 15,5 M$ encore exposés, la priorité immédiate est aux retraits d’urgence. À surveiller : les suites éventuelles des demandes de gel d’adresses et l’identification formelle de l’auteur.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash