O KiloEx, uma troca descentralizada (DEX) para negociar futuros perpétuos, foi atingida por um ataque sofisticado na terça -feira que deixou os usuários que se recuperam com perdas de cerca de US $ 7 milhões.
A exploração se desenrolou em várias redes de blockchain e parecia resultar de uma vulnerabilidade no sistema Oracle do preço da plataforma, por empresa de análise de blockchain Cyvers.
Um invasor, usando uma carteira financiada pelo Tornado Cash – uma ferramenta que obscurece as trilhas de transações – executou uma série de transações na base, cadeia BNB e redes de Taiko para aproveitar uma falha no sistema Oracle da plataforma, o que permitiu ao invasor manipular os preços dos ativos.
Desde então, o Kiloex confirmou a violação, suspendeu as operações da plataforma e agora está trabalhando com parceiros para rastrear os fundos roubados e a lista negra da carteira do atacante.
Oracles são ferramentas baseadas em blockchain que transmitem qualquer tipo de dados externos a uma blockchain, onde contratos inteligentes usam esses dados para tomar decisões para um aplicativo financeiro. Ou seja, o Oracle diz à plataforma se a Ether (ETH) vale US $ 2.000 ou US $ 3.000, garantindo que as negociações ocorram a preços justos de mercado.
Mas Oracles pode ser um elo fraco. No caso de Kiloex, o invasor explorou um preço da vulnerabilidade do Oracle Access Control – essencialmente, uma falha que os permitisse adulterar os dados usando empréstimos flash (ou liquidez temporária) que levou o sistema a acreditar nos preços falsos.
O atacante manipulou o oráculo para relatar um preço absurdamente baixo para a ETH (digamos, US $ 100) ao abrir uma posição de negociação alavancada. A alavancagem permite que os comerciantes emprestem fundos para amplificar suas apostas, para que um preço falso possa criar distorções maciças.
Isso fez parecer que eles obtiveram um grande lucro, que eles retiraram do cofre de Kiloex. O atacante repetiu isso em toda a base, cadeia BNB e Taiko, explorando a configuração da cadeia cruzada de Kiloex para maximizar os ganhos antes que a plataforma pudesse reagir.
Em uma transação relatada, o invasor recebeu US $ 3,12 milhões em uma única mudança.
Esta não é a primeira vez que uma plataforma defi é atingida pela Oracle Manipulation. Ataques semelhantes têm como alvo plataformas como os mercados de manga em 2022, onde US $ 100 milhões foram roubados e o Cream Finance em 2021, com perdas de US $ 130 milhões.