Введение в Ситуацию
Децентрализованная биржа KiloEx, специализирующаяся на торговле perpetual futures, стала жертвой сложной атаки, произошедшей во вторник. Пользователи платформы понесли потери, оцениваемые примерно в $7 миллионов.
Суть Атаки
По данным аналитической компании Cyvers, инцидент произошел на нескольких блокчейн-сетях и, вероятно, стал следствием уязвимости в системе ценовых оракулов платформы. Злоумышленник использовал кошелек, финансируемый через Tornado Cash — инструмент, скрывающий следы транзакций, чтобы провести серию операций на сетях Base, BNB Chain и Taiko. Он смог воспользоваться недостатком в системе ценовых оракулов, что позволило манипулировать ценами активов.
Подтверждение Нарушения
KiloEx уже подтвердила факт нарушения безопасности, приостановила работу платформы и начала сотрудничество с партнерами для отслеживания украденных средств и блокировки кошелька атакующего.
Роль Оракулов в Блокчейн-Экосистеме
Оракулы — это инструменты, которые передают внешние данные в блокчейн, где смарт-контракты используют эту информацию для принятия решений в финансовых приложениях. Оракул сообщает платформе, сколько стоит эфир (ETH), например, $2,000 или $3,000, обеспечивая справедливые рыночные цены для сделок.
Уязвимости Оракулов
Тем не менее, оракулы могут быть слабым звеном в системе. В случае KiloEx злоумышленник использовал уязвимость в контроле доступа к ценовым оракулам — это позволило ему подделывать данные, используя флеш-кредиты (временную ликвидность), которые обманули систему, заставив ее поверить в ложные цены.
Механизм Манипуляции
Атакующий манипулировал оракулом, заставляя его сообщать абсурдно низкую цену для эфира (например, $100) при открытии позиции с кредитным плечом. Использование кредитного плеча позволяет трейдерам занимать средства для увеличения ставок, поэтому ложная цена может создать огромные искажения.
Масштаб Убытков
Это сделало видимым, что злоумышленник получил огромную прибыль, которую он затем вывел из хранилища KiloEx. Атакующий повторил эту схему на сетях Base, BNB Chain и Taiko, используя кросс-цепочечную конфигурацию KiloEx для максимизации своей выгоды до того момента, как платформа смогла отреагировать. В одной из сделок злоумышленник заработал $3.12 миллиона за один раз.
История Подобных Атак
Данная атака не является первой в своем роде. Ранее подобные манипуляции оракулами затрагивали такие платформы, как Mango Markets в 2022 году, где было украдено $100 миллионов, и Cream Finance в 2021 году с убытками в $130 миллионов.
Заключение
Ситуация с KiloEx подчеркивает необходимость повышения безопасности в децентрализованных финансах, особенно в отношении систем, использующих оракулы. Уроки, извлеченные из подобных атак, могут помочь в разработке более защищенных платформ в будущем.
