KiloEx因价格预言机漏洞被盗740万美元，社区质疑赔付方案缺失

原创 | Odaily星球日报（@OdailyChina）

作者 | Asher（@Asher_ 0210 ）

今晨，由 YZi Labs 投资的链上合约平台 KiloEx 遭遇黑客攻击，损失超过 740 万美元。被盗资产涉及 BNB Chain、Base 等多条链上资产。根据链上数据监测，受此事件影响，其项目代币 KILO 在 24 小时内跌幅达 22.8%，现报 0.038 美元。据官方数据显示，KiloEx 平台未平仓合约价值已下降至 600 万美元；此外，DefiLlama 数据显示，KiloEx 的 TVL 目前仍为 3400 万美元。

KILO 价格走势

接下来，Odaily星球日报将为您梳理此次 KiloEx 地址被盗事件的原因、团队回应以及社区反应。

KiloEx 项目简介

KiloEx 是一个去中心化交易所，专注于永续合约交易，旨在为用户提供友好的交易体验。该平台支持多个区块链，包括 BNB Chain、opBNB、Manta、Taiko 和 Base，并利用费率基差将永续合约价格与现货价格锚定，确保交易的稳定性和可靠性。用户在 KiloEx 平台交易的优势包括：

• 无需原生 Gas 代币：支持 USDT/USDC 支付 Gas 费，无需额外跨链兑换；

• 免签交易，操作便捷：无需繁琐签名，交易流程更加流畅；

• 高效执行，接近 CEX 体验：优化交易速度，提升用户交互效率。

2023 年 8 月，YZi Labs 宣布向四个 MVB VI 优秀项目投资，其中包括永续合约 DEX KiloEx（其他三个分别为以太坊扩容项目 AltLayer、DeFi 借贷协议 Kinza 和 AI 游戏 Sleepless AI）。同时，KiloEx 也是 BNB Chain 空投联盟计划的成员之一。

今年 3 月 27 日，币安钱包与 PancakeSwap 合作推出 KiloEx（KILO）独家 TGE，超募近 300 倍。TGE 当日，Binance Alpha 宣布上线 KiloEx（KILO）。

价格预言机访问控制漏洞导致被盗事件

据链上数据监测显示，去中心化永续合约协议 KiloEx 遭遇黑客攻击，总计约 740 万美元的资产被盗，分别分布在 Base 链（约 330 万美元）、opBNB 链（约 310 万美元）和 BNB Smart Chain（约 100 万美元）上。

此次攻击的根本原因在于协议中价格预言机的访问控制存在严重漏洞。通俗来说，预言机本应由受信任的角色更新价格信息，但由于缺乏必要的权限限制，攻击者得以绕过验证机制，任意篡改资产价格，从而操控合约逻辑。

KiloEx 被盗地址分析

根据区块链安全机构 PeckShield 的初步分析，其中一笔利用该漏洞的交易过程被详细披露。攻击者首先以 ETHUSD 的异常低价（如 100 美元）创建一个新仓位，随后通过将 ETH/USD 价格人为地篡改为虚高的 10000 美元，在几乎没有实际行情波动的情况下立即平仓，从而实现巨额套利，仅此一笔交易便获得了高达 312 万美元的收益。

目前，黑客地址（0x00fac92881556a90fdb19eae9f23640b95b4bcbd）在持续通过 zkBridge 进行资金转移，地址资金仍有 540 万美元未转移。

黑客地址

KiloEx 官方回应：KiloEx Vault 遭攻击

针对本次重大安全事件，KiloEx 团队已在第一时间做出官方回应。根据公告内容，本次攻击目标为 KiloEx 的核心资产模块 —— KiloEx Vault，黑客通过技术手段入侵该模块并成功盗取了平台上的大额资金。

官方强调，事件发生后，团队已迅速采取应急措施，敦促所有集成和合作的协议方、交易平台以及第三方服务商，立即将涉案黑客地址列入黑名单，以最大限度防止被盗资产进一步流动或被清洗。为鼓励社区力量协助调查与追踪资金，KiloEx 宣布将推出漏洞赏金计划，奖励能提供有效安全漏洞信息或协助追回资产的个人和组织。

此外，KiloEx 官方表示，目前攻击已得到控制，平台功能已暂停使用，KiloEx 正与多家专业安全机构紧密协作，追踪资金流向并分析攻击者的技术路径。目前团队正在分析本次攻击的具体手法及受影响的资产，完整的事件报告预计将在未来几天内向社区公布。

社区对赔付计划缺失表达不满

尽管 KiloEx 团队在事件发生后迅速做出回应，采取了包括暂停平台、追踪资金、联合安全机构介入等一系列措施，但社区最为关心的“如何赔付用户损失”这一关键问题却并未在公告中提及，令用户失望。尤其是面对高达 740 万美元的被盗金额，用户急切希望了解平台是否会承担责任、赔偿机制是否存在，但相关内容始终缺席。

这一回应中的缺位很快在社区引发大量质疑。KiloEx 的社交媒体评论区充斥着“监守自盗”、“已跑路”、“自导自演”等激烈言论，有用户甚至表示“目前的流通市值才 800 万美元，被盗了 740 万美元，你们该如何赔付”。

目前，KiloEx 团队尚未就赔付问题做出公开表态，或引发更大范围的用户维权和资产撤离风波，Odaily星球日报也将跟踪报道。