Оракул пал: KiloEx потеряла $7,5 миллионов за считаные секунды
NewsMakerКогда эфир за копейки — это не распродажа, а взлом.
Kриптобиржа KiloEx подтвердила , что её хранилище было скомпрометировано в результате атаки, которая, по утверждению компании, теперь уже локализована. Однако злоумышленник продолжает попытки вывести украденные средства через блокчейн-мосты, включая zkBridge и Meson, что может затруднить дальнейшее расследование и возвращение активов.
Представители KiloEx сообщили, что в экстренном порядке связываются с разработчиками указанных мостов, чтобы заблокировать транзакции и предотвратить новые потери. К расследованию подключены BNB Chain, Manta Network, Seal-911, а также команды SlowMist и Sherlock, специализирующиеся на отслеживании и анализе киберинцидентов в блокчейн-среде.
По оценкам, общая сумма ущерба составила около 7,5 миллиона долларов в токенах BNB, Base и Taiko. Ряд экспертов указывает на уязвимость в системе управления доступом к прайс-оракулу как на первопричину инцидента. Особенно подчеркивается, что слабое место находилось в контракте верхнего уровня — MinimalForwarder.
По данным SlowMist, именно отсутствие необходимых проверок доступа в контракте MinimalForwarder позволило злоумышленнику вмешаться в работу прайс-оракула. Подобные оракулы используются для передачи данных из реального мира в блокчейн-среду, включая текущие рыночные цены активов. Манипуляции с ними открывают возможность влиять на торговые позиции внутри децентрализованных платформ.
Как объясняет SlowMist, атакующий сначала искусственно занижает цену актива, открывает позицию на повышение, затем резко поднимает цену и фиксирует прибыль. За счёт этой махинации ему удалось использовать искаженную информацию для выгоды. Аналитики PeckShield, подтвердившие эти выводы, описали конкретный пример: цена ETHUSD была установлена на уровне 100 долларов, а затем мгновенно поднята до 10 000 долларов, что принесло хакеру прибыль в 3,12 миллиона долларов всего за одну транзакцию.
В KiloEx заявили, что намерены опубликовать подробный отчёт по инциденту в ближайшие дни, а также анонсировали вознаграждение для тех, кто поможет в возврате активов или идентификации злоумышленника. Таким образом, биржа делает ставку на сотрудничество с сообществом для минимизации последствий атаки.
Ситуация наглядно демонстрирует, насколько критично наличие строгих проверок в смарт-контрактах, особенно в элементах, связанных с оракулами. Даже незначительная оплошность в архитектуре может привести к масштабному взлому, если вовремя не реализовать защитные механизмы.
Kриптобиржа KiloEx подтвердила , что её хранилище было скомпрометировано в результате атаки, которая, по утверждению компании, теперь уже локализована. Однако злоумышленник продолжает попытки вывести украденные средства через блокчейн-мосты, включая zkBridge и Meson, что может затруднить дальнейшее расследование и возвращение активов.
Представители KiloEx сообщили, что в экстренном порядке связываются с разработчиками указанных мостов, чтобы заблокировать транзакции и предотвратить новые потери. К расследованию подключены BNB Chain, Manta Network, Seal-911, а также команды SlowMist и Sherlock, специализирующиеся на отслеживании и анализе киберинцидентов в блокчейн-среде.
По оценкам, общая сумма ущерба составила около 7,5 миллиона долларов в токенах BNB, Base и Taiko. Ряд экспертов указывает на уязвимость в системе управления доступом к прайс-оракулу как на первопричину инцидента. Особенно подчеркивается, что слабое место находилось в контракте верхнего уровня — MinimalForwarder.
По данным SlowMist, именно отсутствие необходимых проверок доступа в контракте MinimalForwarder позволило злоумышленнику вмешаться в работу прайс-оракула. Подобные оракулы используются для передачи данных из реального мира в блокчейн-среду, включая текущие рыночные цены активов. Манипуляции с ними открывают возможность влиять на торговые позиции внутри децентрализованных платформ.
Как объясняет SlowMist, атакующий сначала искусственно занижает цену актива, открывает позицию на повышение, затем резко поднимает цену и фиксирует прибыль. За счёт этой махинации ему удалось использовать искаженную информацию для выгоды. Аналитики PeckShield, подтвердившие эти выводы, описали конкретный пример: цена ETHUSD была установлена на уровне 100 долларов, а затем мгновенно поднята до 10 000 долларов, что принесло хакеру прибыль в 3,12 миллиона долларов всего за одну транзакцию.
В KiloEx заявили, что намерены опубликовать подробный отчёт по инциденту в ближайшие дни, а также анонсировали вознаграждение для тех, кто поможет в возврате активов или идентификации злоумышленника. Таким образом, биржа делает ставку на сотрудничество с сообществом для минимизации последствий атаки.
Ситуация наглядно демонстрирует, насколько критично наличие строгих проверок в смарт-контрактах, особенно в элементах, связанных с оракулами. Даже незначительная оплошность в архитектуре может привести к масштабному взлому, если вовремя не реализовать защитные механизмы.