Злом KiloEX: Хакери забрали $7 млн з DEX через oracle-дірку
Обіцяючий DEX KiloEX несподівано став предметом гарячих дискусій серед криптофанатів: платформа піддалася атаці, в результаті якої було викрадено понад $6 млн. Першим на слід хакера вийшов детектив Чаофан Шоу, який виявив аномальну активність і забив тривогу.
Виявилося, що вразливість була безпосередньо в механізмі, що відповідає за oracle — це свого роду внутрішній навігатор цін, який задає курс на платформі. Проте, баг дозволяв будь-кому підміняти ціни, виставляючи що завгодно. Звісно, зловмисники не забарились цим скористатися і почали викачувати ліквідність.
Лише через годину після атаки Cyvers Alerts підключилися до розслідування та оголосили нову цифру: вже $7 млн у мінусі. І це не одинична афера — хакери пройшлися кількома мережами, включаючи BNB Smart Chain, Base та Taiko. У списку постраждалих багато токенів, і на момент звіту атака все ще тривала.
Перші зачіпки вели до адреси, на яку були переведені кошти через Tornado Cash, що дало підстави підозрювати знайомих злочинців – DPRK (КНДР) кіберзлочинців. Все було зроблено вміло: MetaMask, мости між мережами, обходи Ethereum, акцент на стейблі. За годину більша частина вкраденого вже була безпечно збережена на кількох великих гаманцях. На той момент переказів у Tornado не було зафіксовано.
Особливо постраждали USDC та USDT. Зараз ончейн-детективи намагаються заморозити активи — одна з адрес на BNB Smart Chain вже помічена: на ній знаходиться $3.1M у USDT.
Все це серйозно вдарило по токену KILO – він знизився майже на 17%, впавши з $0.049 до $0.040. Користувачі, які отримали airdrop, залишилися в шоці – їхні заощадження знецінилися в цей момент.
KiloEX розвивався – з початку 2023 року проект накопичував активність, збільшував обсяги і ріс у TVL. В останньому кварталі перед атакою був анонс ліквідити-івенту, де можна було торгувати мем-токенами з BNB Smart Chain. Обсяги також були вражаючими – за добу вони склали $31.8M, з яких $22M – на парі BTC/USDT.
Одна з особливостей, що приваблювали користувачів, – airdrop farming та плечі до 100X. Люди активно торгували, щоб заробити на майбутніх вигодах. Тепер все заплановане виявилося під загрозою: ті, хто активно працював, втратили і токени, і стимули.
Источник: coinspot.io
