DEX KiloEx теряет $7 млн в результате атаки с явным манипулированием Oracle

Ранее во вторник KiloEx, децентрализованная биржа (DEX) для торговли бессрочными фьючерсами, подверглась сложной атаке, в результате которой пользователи понесли убытки в размере около 7 миллионов долларов.

По данным аналитической компании Cyvers, эксплойт был зафиксирован в нескольких сетях блокчейнов и, по-видимому, возник из-за уязвимости в системе оракулов цен платформы.

Злоумышленник, используя кошелек, пополняемый через Tornado Cash — инструмент, скрывающий следы транзакций, — выполнил серию транзакций в сетях Base, BNB Chain и Taiko, чтобы воспользоваться уязвимостью в системе ценового оракула платформы, что позволило злоумышленнику манипулировать ценами на активы.

KiloEx подтвердила факт взлома, приостановила работу платформы и теперь работает с партнерами, чтобы отследить украденные средства и внести кошелек злоумышленника в черный список.

TheDEX предложила хакеру 10%вознаграждения, если они вернут 90% средств.

Оракулы — это основанные на блокчейне инструменты, которые передают любые внешние данные в блокчейн, где смарт-контракты используют эти данные для принятия решений для финансового приложения. То есть, оракул сообщает платформе, стоит ли эфир (ETH) 2000 или 3000 долларов, гарантируя, что сделки происходят по справедливым рыночным ценам.

Но оракулы могут быть слабым LINK. В случае с KiloEx злоумышленник использовал уязвимость контроля доступа к ценовому оракулу — по сути, недостаток, который позволял им фальсифицировать данные, используя мгновенные кредиты (или временную ликвидность), которые обманывали систему, заставляя ее верить ложным ценам.

Атакующий манипулировал оракулом, чтобы сообщить абсурдно низкую цену на ETH (скажем, $100) при открытии кредитной торговой позиции. Кредитное плечо позволяет трейдерам занимать средства для усиления своих ставок, поэтому поддельная цена может создать огромные искажения.

Это выглядело так, будто они получили огромную прибыль, которую затем вывели из хранилища KiloEx. Злоумышленник повторил это через Base, BNB Chain и Taiko, эксплуатируя кросс-чейн-настройку KiloEx, чтобы максимизировать прибыль до того, как платформа успеет отреагировать.

В ONE из зарегистрированных транзакций злоумышленник заработал 3,12 миллиона долларов за один ход.

Это T первый случай, когда платформа DeFi пострадала от манипуляций оракулов. Подобные атаки были направлены на такие платформы, как Mango Рынки в 2022 году, где было украдено 100 миллионов долларов, и Cream Финансы в 2021 году с убытками в размере 130 миллионов долларов.