Децентрализованная биржа для торговли бессрочными фьючерсами KiloEx стала жертвой масштабной хакерской атаки, в результате которой злоумышленник похитил криптоактивы на сумму около $7–7,5 млн. Инцидент произошел 14 апреля и вскрыл уязвимости в механизмах безопасности DeFi-платформы.
Для того, чтобы манипулировать переводами, хакер использовал метод «атаки оракула», который ранее применялся в инцидентах с Mango Markets (2022). Тогда потери составили $114 млн. Убытки Cream Finance составили $110 млн, по той же причине. Уязвимость позволила злоумышленнику искусственно подменить цену торгуемого актива, что принесло прибыль в $3,12 млн всего за одну транзакцию. Похищенные активы были выведены через блокчейны Base ($3,3млн), BNB ($3,3млн), BNB ($3,1 млн) и BNB Chain ($1 млн). Часть средств перемещалась через сервисы, скрывающие транзакции, такие как миксер Tornado Cash и мосты zkBridge и Meson. Это затрудняет дальнейшее отслеживание этих средств.
По данным сервисов безопасности, оракул KiloEx, отвечающий за передачу данных о ценах, не прошёл достаточной проверки. Это позволило хакеру внедрить ложные котировки и провести сделки с кредитным плечом. Команда KiloEx
заявила, что временно остановила работу торговой платформы для локализации уязвимости и предотвращения новых атак. KiloEx предложила злоумышленнику оставить 10% украденных средств ($700 тыс.) в качестве «баунти», если он вернет остальные 90%. В случае отказа биржа угрожает раскрыть личность хакера и передать дело правоохранителям. Также проект взаимодействует с BNB Chain, Manta Network, а также компаниями по кибербезопасности — SlowMist, Sherlock и другими, для блокировки похищенных средств KiloEx.
Цена нативного токена KILO упала более чем на 42%, с $0,05856 до $0,03369, а капитализация снизилась с $12,331 млн до $7,310 млн. Инцидент подчеркивает необходимость усиления защиты оракулов и аудита смарт-контрактов. Как отметил соучредитель Fuzzland Чаофан Шоу, «атаки на оракулы — это результат простых уязвимостей, которых можно избежать». Аналогичный сценарий был реализован в 2022 году, когда Авраам Айзенберг похитил $114 млн у Mango Markets. Его арестовали и осудили в США. Это демонстрирует риски для хакеров, игнорирующих предложения проектов — вернуть около 90% средств, а оставшуюся сумму оставить в качестве вознаграждения за найденную уязвимость.
Взлом KiloEx стал очередным напоминанием о хрупкости инфраструктуры DeFi. Пока команда биржи пытается вернуть средства, сообщество ждет исправления уязвимостей и публикации полного отчета. Поскольку это не первый случай взлома подобного рода, схожие проекты должны проверять свои системы ценообразования на устойчивость к манипуляциям. Это позволит предупредить такие инциденты. Также наличие “баунти” вознаграждения у криптовалютных проектов за обнаружение уязвимостей может предотвратить и иные методы взломов. Это положительно скажется на криптоиндустрии и поднимет доверие к криптовалютам со стороны регуляторов и всех пользователей, использующих криптовалюты.
