去中心化交易所 KiloEX 已确认,其平台因遭受 750 万美元的攻击而暂停用户使用,并正在追踪被盗资金。
KiloEX 团队在 4 月 14 日致 X 的一份声明中表示,该漏洞已得到控制,平台已暂停使用,调查正在进行中。
KiloEX 表示:“团队已立即暂停平台使用,并正在与安全合作伙伴合作追踪资金流向。”
“我们正在分析攻击向量和受影响的资产。我们正在与生态系统合作伙伴合作,尽可能追踪和追回资金。”
KiloEX 表示,赏金计划和关于漏洞发生过程的完整报告也正在筹备中。
KiloEX 团队在最新消息中表示,他们正在与 BNB Chain、Manta Network 以及网络安全公司 Seal-911、SlowMist 和 Sherlock 合作,以覆盖“多个生态系统”。
“我们的调查已证实,被盗资产目前正通过 zkBridge 和 Meson 进行路由,”KiloEX 表示。
“我们正紧急尝试与这两个协议合作,以停止正在进行的交易并防止进一步的损失。”
分析师称,KiloEX 攻击者利用了价格预言机问题
网络安全公司 PeckShield 在 4 月 14 日发给 X 的帖子中表示,该漏洞利用者共窃取了 750 万美元,其中包括 330 万美元的 Base、310 万美元的 opBNB 和 100 万美元的 BSC。
该公司推测,该漏洞很可能是“价格预言机问题”,即智能合约用于确定资产价格的信息被操纵或不准确,从而导致漏洞利用。
PeckShield 表示:“我们对一个交易漏洞的初步分析表明,存在价格预言机问题。”
“黑客利用该漏洞创建一个初始价格为 100 的 ETH/USD 新仓位,然后立即以虚高的 10000 ETH/USD 价格平仓,单笔交易净赚 312 万美元。”
区块链分析公司 Fuzzland 的联合创始人 Chaofan Shou 也参与其中,他推测此次漏洞很可能是由于价格预言机的问题造成的。
“任何人都可以更改 Kilo 的价格预言机。他们确实验证了调用者是可信的转发者,但没有验证被转发的调用者,”Shou 说。
当有用户询问漏洞利用的复杂性时,Shou 补充说,这是一个“非常简单的漏洞”。
据 CoinGecko 数据显示,该消息导致 KiloEX 的原生代币 Kilo 暴跌逾 27%,交易价格报 0.03596 美元。目前,该价格较 3 月 27 日创下的 0.1648 美元的历史高点仍下跌逾 78%。
KiloEx 成立于 2023 年,由币安实验室 (Binance Labs) 支持,后者是其主要投资者和战略合作伙伴。
就在此次攻击发生的几天前,该交易所于 4 月 13 日宣布与总部位于迪拜的 Web3 风险投资公司 DWF Labs 建立合作伙伴关系,后者承诺扩大 KiloEx 的市场份额并加速其增长。
3 月 25 日,DWF Labs 推出了 2.5 亿美元的流动基金,旨在加速中大型区块链项目的发展,并推动 Web3 技术在现实世界中的应用。
