DEX KiloEx perde US$ 7 milhões em aparente ataque de manipulação do Oracle

A KiloEx, uma bolsa descentralizada (DEX) para negociação de futuros perpétuos, foi atingida por um ataque sofisticado na terça-feira que deixou os usuários sofrendo perdas de cerca de US$ 7 milhões.

A exploração ocorreu em diversas redes de blockchain e pareceu ter origem em uma vulnerabilidade no sistema de oráculo de preços da plataforma, segundo a empresa de análise de blockchain Cyvers.

Um invasor, usando uma carteira financiada pelo Tornado Cash — uma ferramenta que oculta rastros de transações — executou uma série de transações nas redes Base, BNB Chain e Taiko para tirar vantagem de uma falha no sistema de oráculo de preços da plataforma, o que permitiu ao invasor manipular os preços dos ativos.

A KiloEx confirmou a violação, suspendeu as operações da plataforma e agora está trabalhando com parceiros para rastrear os fundos roubados e colocar a carteira do invasor na lista negra.

O A DEX ofereceu 10% ao hackerda recompensa se eles devolvessem 90% dos fundos.

Oráculos são ferramentas baseadas em blockchain que transmitem qualquer tipo de dado externo para uma blockchain, onde contratos inteligentes usam esses dados para tomar decisões para uma aplicação financeira. Ou seja, o oráculo informa à plataforma se o ether (ETH) vale US$ 2.000 ou US$ 3.000, garantindo que as negociações ocorram a preços justos de mercado.

Mas oráculos podem ser um LINK fraco. No caso da KiloEx, o invasor explorou uma vulnerabilidade de controle de acesso ao oráculo de preços — essencialmente, uma falha que permitia adulterar dados usando empréstimos rápidos (ou liquidez temporária) que enganavam o sistema, fazendo-o acreditar em preços falsos.

O invasor manipulou o oráculo para reportar um preço absurdamente baixo para ETH (digamos, US$ 100) ao abrir uma posição de negociação alavancada. A alavancagem permite que os traders tomem fundos emprestados para ampliar suas apostas, portanto, um preço falso pode criar distorções enormes.

Isso fez parecer que eles haviam obtido um lucro enorme, que então retiraram do cofre da KiloEx. O invasor repetiu isso na Base, na BNB Chain e na Taiko, explorando a configuração cross-chain da KiloEx para maximizar os ganhos antes que a plataforma pudesse reagir.

Em uma transação relatada, o invasor arrecadou US$ 3,12 milhões em uma única movimentação.

Esta T é a primeira vez que uma plataforma DeFi é afetada por manipulação de oráculos. Ataques semelhantes tiveram como alvo plataformas como a Mango Mercados em 2022, onde US$ 100 milhões foram roubados, e a Cream Finanças em 2021, com perdas de US$ 130 milhões.