DxSale 發布事件說明:v2 及後續流動性鎖定合約不受影響
DxSale 發布事件說明:v2 及後續流動性鎖定合約不受影響
近期一場 BNB Chain 流動性鎖定事件 重新引發了 DeFi 的一個熟悉問題:當底層鏈發展演進時,「舊的基礎設施」是否會再次變得危險? 2026 年 5 月下旬,攻擊者瞄準了可以追溯到 2021 年的舊式 DxSale 流動性鎖定,觸發了鏈上資金轉移,並在曾依賴 DxSale 早期鎖定架構的項目中引發了一波擔憂。
在 2026 年 5 月 30–31 日(取決於時區)左右發布的一份後續說明中,DxSale 表示該問題僅限於其 v1 鎖定合約,而 v2 及後續版本(v2、v3 等)並未受到影響,後續合約據報已通過審計,用戶鎖定的資產依然安全。
以下將詳細分析事件經過,解釋為何鏈級「原子」執行功能可能暴露舊合約的邊緣案例,以及流動性提供者(LPs)和代幣團隊接下來應採取哪些措施。
BNB Chain 上發生了什麼(2026 年 5 月 29 日)
2026 年 5 月 29 日,有報告顯示 BNB Chain 上約有 1,400 個較舊的 LP 頭寸——主要來自 2021 年的時期——被耗盡,估計損失約為 730 萬美元。多家追蹤此事件的文章指出,攻擊者採用了一種與 所有權/特權控制操縱 一致的方法,然後通過交換和存款轉移資產。
此事件中廣泛引用的攻擊者地址為:
- 0xC4574DDE...2EeaFA69 — 可在 BscScan 地址追蹤 上查看
公開的摘要也描述了攻擊者將資金整合為 BNB,將 2,958 BNB(當時約合 187 萬美元)轉移到兩個主要錢包,然後轉移到交易所存款地址,並通過 PancakeSwap 進行交換。欲了解易於理解的事件概覽,請參閱 Cointelegraph 在 TradingView 上鏡射的報導。
DxSale 的核心觀點:影響範圍僅限於 v1
DxSale 的說明強調了三項關鍵聲明:
- 受影響的合約是 2021 年推出的早期「v1」流動性鎖定合約
- v2 及後續鎖定合約並未受影響
- 後續幾代合約採用了不同的架構構建,並經過了安全審查/審計
儘管用戶應始終核實合約地址和其特定鎖定的審計範圍,但您可以通過 CertiK 的 DxSale 項目天網頁面 交叉驗證 DxSale 的項目安全和審計歷史。
對於不熟悉 DxSale 版本管理的用戶,DxSale 自有文件區分了較新的鎖定器(例如 DxLock V2 流動性鎖定文件),這有助於確認特定項目使用了何種工具和合約版本。
為何「原子交易」會打破舊的假設
DxSale 將根本原因歸咎於 BNB Chain 較新的「原子交易」式執行與早期 v1 鎖定器設計之間的兼容性問題。
在現代 EVM 生態系統中,「原子」通常指的是將多個操作捆綁成一個「全有或全無」的交易(因此中間狀態永遠不會持久)。隨著 帳戶抽象和批量處理原語 的廣泛採用,包括 EIP-7702 風格的機制,這種趨勢在 2025–2026 年加速發展。
BNB Chain 已公開討論過智能錢包和帳戶抽象升級——請參閱 BNB Chain 的 Pascal 硬分叉公告。有關普及單筆交易委託/批量處理概念的底層標準,請參閱 以太坊 EIP 上的 EIP-7702。
DeFi 安全的關鍵教訓
即使一個舊型合約「運行多年」,新的交易模式也可能使舊的威脅模型失效——尤其是當合約依賴管理員權限、異常的所有權流程或對調用如何組合的假設時。
這也是 2025–2026 年 DeFi 安全討論日益關注以下內容的原因之一:
- 不可變 vs. 可升級 合約的風險,
- 特權角色 和所有權界限,
- 以及合約在 新的鏈功能 和執行環境下是否仍然安全。
流動性提供者和代幣團隊現在應該做什麼
1) 確認您的 LP 使用了哪個鎖定器版本
如果您是 BNB Chain 舊項目的社群成員,請勿假設「鎖定」即意味著安全。請要求團隊提供:
- 確切的鎖定器合約地址,
- 鎖定 ID / 鎖定頁面,
- 並確認是 v1 還是 v2+。
如果您只有一個地址,請從 BscScan 開始,檢查合約創建時間、所有權功能和歷史交易。
2) 將「審計」視為必要條件,而非充分條件
審計可以降低風險,但無法完全消除風險——特別是當鏈的行為不斷演變時。請將審計參考作為起點,然後評估:
- 是否仍存在特權功能?
- 是否可以更改所有權?
- 是否存在影響取款的管理員控制參數?
3) 假設攻擊者會針對被遺忘的合約
此次漏洞事件說明了一個Recurring pattern:攻擊者經常尋找休眠的流動性和舊式合約,因為監控較弱,應對者較慢。
4) 在遷移和緊急操作期間保護您的簽名金鑰
諸如此類的事件通常會觸發「緊急遷移」,這是網絡釣魚和惡意簽名提示的黃金時期。
像 OneKey 這樣的硬件錢包可以通過將私鑰離線保存並要求設備上的交易確認來提供幫助——這降低了受損計算機或瀏覽器擴展程序默默簽署有害授權的可能性。這無法修復有漏洞的 DeFi 合約,但當您在壓力下與 dApps 互動時,它實質上提高了個人的操作安全性。
總結
- 2026 年 5 月的事件凸顯了舊式流動性鎖定合約如何再次成為系統性風險——尤其是在執行功能快速演變的快速發展的鏈上。
- DxSale 的聲明將問題定性為僅限於 2021 年的 v1 鎖定器,而v2 及後續合約並未受影響。
- 對於用戶和團隊而言,可採取的行動是盤點舊的鎖定,驗證合約版本,並升級安全實踐以適應 2026 年的現實:原子批量處理、委託執行和速度更快的攻擊者劇本。
如果您負責管理金庫或經常在 BNB Chain 上簽署 DeFi 交易,請考慮將 OneKey 作為更廣泛安全態勢的一部分:硬件支持的密鑰隔離、謹慎的授權管理以及冷靜、可驗證的事件響應流程。
