Nawala ang DEX KiloEx ng $7M sa Tila Oracle Manipulation Attack

Ang KiloEx, isang decentralized exchange (DEX) para sa trading perpetual futures, ay tinamaan ng isang sopistikadong pag-atake noong nakaraang Martes na nagdulot ng pagkalugi ng mga user sa humigit-kumulang $7 milyon.

Ang pagsasamantala ay naganap sa maraming blockchain network at tila nagmumula sa isang kahinaan sa price oracle system ng platform, ayon sa blockchain analysis firm na Cyvers.

Isang attacker, na gumagamit ng wallet na pinondohan sa pamamagitan ng Tornado Cash — isang tool na nakakubli sa mga trail ng transaksyon — ay nagsagawa ng isang serye ng mga transaksyon sa Base, BNB Chain, at Taiko network upang samantalahin ang isang depekto sa price oracle system ng platform, na nagbigay-daan sa attacker na manipulahin ang mga presyo ng asset.

KiloEx ay nakumpirma na ang paglabag, sinuspinde ang mga pagpapatakbo ng platform, at ngayon ay nakikipagtulungan sa mga kasosyo upang masubaybayan ang mga ninakaw na pondo at i-blacklist ang wallet ng umaatake.

Ang Inaalok ng DEX ang hacker ng 10% ng bounty kung ibinalik nila ang 90% ng mga pondo.

Ang mga Oracle ay mga tool na nakabatay sa blockchain na nagre-relay ng anumang uri ng panlabas na data sa isang blockchain, kung saan ginagamit ng mga matalinong kontrata ang data na iyon upang gumawa ng mga desisyon para sa isang pinansiyal na aplikasyon. Iyon ay, ang orakulo ay nagsasabi sa platform kung ang ether (ETH) ay nagkakahalaga ng $2,000 o $3,000, na tinitiyak na ang mga trade ay nangyayari sa patas na mga presyo sa merkado.

Ngunit ang mga orakulo ay maaaring isang mahinang LINK. Sa kaso ng KiloEx, sinamantala ng umaatake ang isang kahinaan sa price oracle access control — sa pangkalahatan, isang depekto na hinahayaan silang pakialaman ang data sa pamamagitan ng paggamit ng mga flash loans (o pansamantalang pagkatubig) na nanlinlang sa system na maniwala sa mga maling presyo.

Minamanipula ng attacker ang oracle upang mag-ulat ng isang napakababang presyo para sa ETH (sabihin, $100) kapag nagbukas ng isang leveraged na posisyon sa pangangalakal. Ang leverage ay nagpapahintulot sa mga mangangalakal na humiram ng mga pondo upang palakihin ang kanilang mga taya, kaya ang isang pekeng presyo ay maaaring lumikha ng napakalaking pagbaluktot.

Ginawa nitong mukhang kumita sila ng malaking kita, na pagkatapos ay binawi nila sa vault ng KiloEx. Inulit ito ng umaatake sa Base, BNB Chain, at Taiko, na sinasamantala ang cross-chain setup ng KiloEx upang ma-maximize ang mga pakinabang bago makapag-react ang platform.

Sa ONE iniulat na transaksyon, ang umaatake ay nakakuha ng $3.12 milyon sa isang galaw.

T ito ang unang pagkakataon na ang isang DeFi platform ay natamaan ng pagmamanipula ng orakulo. Ang mga katulad na pag-atake ay naka-target sa mga platform tulad ng Mango Markets noong 2022, kung saan ninakaw ang $100 milyon, at ang Cream Finance noong 2021, na may mga pagkalugi na $130 milyon.