Um contrato inativo da DxSale criado em 2021 foi esvaziado silenciosamente nesta semana, expondo mais de US$ 7,3 milhões em 1.400 pools da BNB Chain — e acendendo o alerta sobre privilégios de administrador como vetor de ataque.
Um contrato de bloqueio de liquidez da plataforma DxSale, lançado em 2021 e aparentemente esquecido, foi esvaziado nesta semana em um ataque que combinou duas técnicas simples, mas devastadoras: uma transferência silenciosa de propriedade do contrato e um reset da taxa de retirada para apenas um wei — a menor unidade possível de valor na rede.
O resultado: mais de US$ 7,3 milhões drenados de aproximadamente 1.400 pools de liquidez na BNB Chain. O caso é o mais recente em uma sequência de incidentes que expõem como chaves de administrador mal gerenciadas podem se tornar a maior vulnerabilidade de um protocolo DeFi.
Como o ataque funcionou
Segundo a The Defiant, o atacante não precisou explorar nenhuma falha criptográfica sofisticada. O contrato legado da DxSale ainda permitia que o owner (proprietário) alterasse parâmetros críticos sem restrições temporais ou aprovação de múltiplas partes. O agressor assumiu o controle do contrato via transferência de propriedade e, em seguida, zerou as taxas de saque — abrindo caminho para retirar todos os ativos bloqueados sem custo.
O ataque é classificado como um owner-privilege exploit: a exploração de permissões administrativas excessivas embutidas no próprio código do contrato. Diferente de invasões externas, esse tipo de vetor opera de dentro para fora, usando as ferramentas legítimas do protocolo contra seus próprios usuários.
Mais de US$ 7,3 milhões em ativos foram retirados de contratos de bloqueio de liquidez em um único ataque coordenado.
Transferência de ownership do contrato seguida de reset da taxa de retirada para um wei — sem necessidade de explorar vulnerabilidades externas.
Aproximadamente 1.400 pools de liquidez na BNB Chain foram impactados, muitos deles de projetos menores que usaram a DxSale como launchpad em 2021.
O contrato explorado foi implantado em 2021, durante o boom de launchpads na BNB Chain, e permaneceu ativo — e vulnerável — por anos sem atualização.
Um padrão preocupante na BNB Chain
O caso da DxSale não é isolado. A BNB Chain acumula uma série de incidentes envolvendo privilégios de administrador usados como superfície de ataque. A combinação de contratos antigos sem mecanismos de governança descentralizada, chaves privadas mal custodidas e ausência de auditorias periódicas cria um ambiente propício para esse tipo de exploração.
Especialistas em segurança de smart contracts alertam há anos que o modelo de owner único — onde uma única carteira detém poderes irrestritos sobre um protocolo — representa um risco sistêmico, especialmente em contratos que acumulam liquidez de terceiros ao longo do tempo.
O que é um owner-privilege exploit?
Trata-se da exploração de permissões administrativas excessivas dentro de um smart contract. Quando o código permite que o “dono” do contrato altere taxas, pausar saques ou transferir ativos sem restrições, qualquer pessoa que obtenha esse acesso — legítima ou fraudulentamente — pode agir contra os interesses dos usuários. Diferente de hacks externos, esse vetor usa as próprias ferramentas do protocolo como arma.
Para usuários que participaram de projetos lançados via DxSale em 2021, o impacto pode ser direto: pools de liquidez travados como garantia de projetos menores foram esvaziados, destruindo a segurança que esses mecanismos de bloqueio deveriam oferecer.
O episódio reforça a importância de avaliar não apenas o código de um protocolo, mas também quem detém as chaves de administração e quais salvaguardas existem para impedir uso indevido — seja por agentes externos ou pelos próprios desenvolvedores. Leia também nosso guia completo sobre como a IA está tornando golpes cripto mais sofisticados e entenda outros vetores de risco no ecossistema.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Seus ativos estão fora do alcance de exploits?
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Como auditar um smart contract antes de investirSaiba quais sinais de alerta observar em contratos DeFi para evitar cair em armadilhas de owner-privilege.
⚠️ Os maiores hacks DeFi da históriaUm panorama dos ataques mais expressivos ao ecossistema descentralizado e o que cada um ensinou ao mercado.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.