DEX KiloEx втрачає 7 мільйонів доларів через очевидну атаку маніпуляції Oracle

KiloEx, децентралізована біржа (DEX) для торгівлі безстроковими ф’ючерсами, раніше у вівторок зазнала складної атаки, внаслідок якої користувачі втратили близько 7 мільйонів доларів.

Експлойт розгортався в багатьох блокчейн-мережах і, схоже, виник через уразливість у системі цінового оракула платформи, згідно з аналізатором блокчейну Cyvers.

Зловмисник, використовуючи гаманець, фінансований через Tornado Cash — інструмент, який приховує сліди транзакцій — виконав серію транзакцій у мережах Base, BNB Chain і Taiko, щоб скористатися недоліком системи оракула цін на платформі, що дозволило зловмиснику маніпулювати цінами на активи.

З тих пір KiloEx підтвердив порушення, призупинив роботу платформи і зараз працює з партнерами, щоб відстежити вкрадені кошти та додати гаманець зловмисника до чорного списку.

The DEX запропонував хакеру 10% винагороди, якщо вони повернули 90% коштів.

Оракули — це інструменти на основі блокчейну, які передають будь-які типи зовнішніх даних у блокчейн, де розумні контракти використовують ці дані для прийняття рішень щодо фінансової програми. Тобто оракул повідомляє платформі, чи коштує ефір (ETH) 2000 або 3000 доларів США, гарантуючи, що угоди відбуваються за чесними ринковими цінами.

Але оракули можуть бути слабкою LINK. У випадку з KiloEx зловмисник скористався уразливістю контролю доступу до оракула цін — по суті, недоліком, який дозволив їм підробити дані, використовуючи флеш-позики (або тимчасову ліквідність), що змусило систему повірити у фальшиві ціни.

Зловмисник маніпулював оракулом, щоб повідомити про абсурдно низьку ціну ETH (скажімо, 100 доларів США) під час відкриття торгової позиції з кредитним плечем. Кредитне плече дозволяє трейдерам позичати кошти, щоб збільшити свої ставки, тому фальшива ціна може створити значні спотворення.

Це створило вигляд, що вони отримали величезний прибуток, який потім вилучили зі сховища KiloEx. Зловмисник повторив це в Base, BNB Chain і Taiko, використовуючи налаштування крос-ланцюга KiloEx для максимізації прибутку до того, як платформа встигла відреагувати.

В ONE зареєстрованій транзакції зловмисник отримав 3,12 мільйона доларів за один хід.

Це T перший випадок, коли платформа DeFi зазнає маніпуляцій з оракулами. Подібні атаки були спрямовані на такі платформи, як Mango Ринки у 2022 році, де було вкрадено 100 мільйонів доларів, і Cream Фінанси у 2021 році зі збитками у 130 мільйонів доларів.