14.04.2025
1 хв
559
Через уразливість в системі контролю доступу до прайс-оракула зловмисники спромоглися викрасти 7,5 млн $ з біржі KiloEx. Кошти негайно перекидаються через zkBridge та Meson, доки команда намагається зупинити транзакції.
У ніч на 15 квітня біржа KiloEx повідомила про масштабну атаку. Хакери використали вразливість у смартконтракті MinimalForwarder, котрий не перевіряв, хто саме викликає функції зміни цін оракула. Це дозволило зловмиснику занизити вартість ETHUSD, відкрити позицію з вигодою, а потім одразу ж закрити її за завищеним курсом, зафіксувавши $3,12 млн прибутку — за одну транзакцію.
Усього було викрадено $7,5 млн у токенах BNB, Base і Taiko. Команда KiloEx вже зупинила подальше виведення коштів, співпрацює з BNB Chain, Manta Network, Seal-911, SlowMist, Sherlock та готує звіт. Водночас запущено програму винагород для повернення активів.
KiloEx — це децентралізована платформа для торгівлі деривативами. Як і інші DeFi-проєкти, вона залежить від прайс-оракулів — спеціальних програм, які подають “реальні” ринкові ціни у блокчейн. Саме на цій точці й зіграли зловмисники, скориставшись тим, що в коді MinimalForwarder не було перевірки прав доступу, і фактично будь-хто міг змінити ціну. Подібні атаки відбувалися й раніше — наприклад, на Mango Markets у 2022 році. Це чергове нагадування, що навіть “децентралізованість” не рятує від людських помилок у коді.
Вразливості у смартконтрактах залишаються головним вектором атак на крипторинок. Експлойт KiloEx демонструє: навіть один недогляд у доступі до оракула може коштувати мільйони. Командам важливо проводити зовнішній аудит, а користувачам — бути обачними з молодими платформами.
