DEX KiloEx perd 7 millions de dollars suite à une apparente attaque de manipulation d'Oracle

KiloEx, une bourse décentralisée (DEX) pour le trading de contrats à terme perpétuels, a été touchée par une attaque sophistiquée plus tôt mardi qui a laissé les utilisateurs sous le choc avec des pertes d'environ 7 millions de dollars.

L'exploit s'est déroulé sur plusieurs réseaux blockchain et semble provenir d'une vulnérabilité dans le système d'oracle des prix de la plateforme, selon la société d'analyse blockchain Cyvers.

Un attaquant, utilisant un portefeuille financé par Tornado Cash — un outil qui masque les traces de transactions — a exécuté une série de transactions sur les réseaux Base, BNB Chain et Taiko pour profiter d'une faille dans le système d'oracle des prix de la plateforme, ce qui a permis à l'attaquant de manipuler les prix des actifs.

KiloEx a depuis confirmé la violation, suspendu les opérations de la plateforme et travaille désormais avec des partenaires pour retracer les fonds volés et mettre sur liste noire le portefeuille de l'attaquant.

Le DEX a offert 10% au piratede la prime s'ils rendaient 90 % des fonds.

Les oracles sont des outils basés sur la blockchain qui transmettent tout type de données externes à une blockchain, où des contrats intelligents utilisent ces données pour prendre des décisions pour une application financière. Autrement dit, l'oracle indique à la plateforme si l'ether (ETH) vaut 2 000 ou 3 000 dollars, garantissant ainsi des transactions à un prix équitable.

Mais les oracles peuvent constituer un LINK faible. Dans le cas de KiloEx, l'attaquant a exploité une vulnérabilité de contrôle d'accès à l'oracle des prix – une faille qui lui a permis de falsifier les données en utilisant des prêts flash (ou liquidités temporaires) qui ont trompé le système en lui faisant croire à de faux prix.

L'attaquant a manipulé l'oracle pour qu'il annonce un prix de ETH extrêmement bas (disons 100 $) lors de l'ouverture d'une position à effet de levier. L'effet de levier permet aux traders d'emprunter des fonds pour amplifier leurs paris ; un faux prix peut donc créer des distorsions considérables.

Cela a donné l'impression qu'ils avaient réalisé un profit colossal, qu'ils ont ensuite retiré du coffre-fort de KiloEx. L'attaquant a répété l'opération sur Base, BNB Chain et Taiko, exploitant la configuration inter-chaînes de KiloEx pour maximiser ses gains avant que la plateforme ne puisse réagir.

Lors d' une transaction signalée, l'attaquant a empoché 3,12 millions de dollars en un seul mouvement.

Ce n'est T la première fois qu'une plateforme DeFi est victime de manipulation d'oracles. Des attaques similaires ont ciblé des plateformes comme Mango Marchés en 2022, où 100 millions de dollars ont été volés, et Cream Finance en 2021, avec des pertes de 130 millions de dollars.