PANewsは3月12日、BlockSec Phalconのモニタリングによると、DBXenコントラクトが今朝攻撃を受け、約15万ドルの損失が発生したと報じました。根本的な原因は、ERC2771トランザクションにおける送信者IDの不一致にあります。`burnBatch()`関数では、`gasWrapper()`デコレータが`_msgSender()`（実際のユーザー）を使用して状態を更新しているのに対し、コールバック関数`onTokenBurned()`は`msg.sender`（フォワーダー）を使用しています。その結果、`accCycleBatchesBurned`はユーザーの記録を行いますが、`lastActiveCycle`はフォワーダーのデータを誤って更新します。この不一致により、`claimFees()`と`claimRewards()`のロジックが破綻します。ユーザーに対して `updateStats()` が実行されると、`accCycleBatchesBurned` は更新されているものの `lastActiveCycle` は更新されていないため、コントラクトは未処理のバーンされたバッチがあると誤って想定し、報酬と手数料を誤って計算し、攻撃者が利益のために余分な資金を抽出できるようになります。