去中心化交易所KiloEx因价格预言机漏洞遭黑客窃取750万美元

作者：Stephen Katte，CoinTelegraph；编译：白水，金色财经

去中心化交易所 KiloEX 近日确认其平台因黑客攻击损失了750万美元，并因此暂停用户使用。目前，团队正在积极追踪被盗资金的流向。

KiloEX 团队在4月14日发布的声明中表示，该漏洞已得到控制，但为了进一步调查，平台暂时停止服务。

KiloEX 表示：“我们已立即暂停平台使用，并与安全合作伙伴展开合作，追踪资金流向。”

“我们正在分析攻击向量以及受影响的资产，并与生态系统中的合作伙伴协作，尽可能追踪和追回资金。”

KiloEX 还透露，他们正在筹备一份关于漏洞发生过程的完整报告以及赏金计划。

最新消息显示，KiloEX 正与 BNB Chain、Manta Network 以及多家网络安全公司（包括 Seal-911、SlowMist 和 Sherlock）合作，覆盖多个生态系统以应对此次事件。

“我们的调查已证实，被盗资产目前正通过 zkBridge 和 Meson 进行路由，”KiloEX 表示。

“我们正紧急尝试与这两个协议合作，阻止正在进行的交易并防止进一步的损失。”

分析师揭示攻击根源：价格预言机问题

网络安全公司 PeckShield 在4月14日发布的内容中指出，攻击者共窃取了750万美元，其中包括330万美元的 Base、310万美元的 opBNB 和100万美元的 BSC。

该公司推测，此次攻击很可能是由于“价格预言机问题”引发的。价格预言机用于智能合约中确定资产价格，但由于信息被操纵或不准确，导致漏洞被利用。

PeckShield 表示：“我们对一个交易漏洞的初步分析表明，存在价格预言机问题。”

“攻击者利用该漏洞创建了一个初始价格为100的 ETH/USD 新仓位，然后立即以虚高的10000 ETH/USD 价格平仓，单笔交易净赚312万美元。”

区块链分析公司 Fuzzland 的联合创始人 Chaofan Shou 也参与了研究，他推测此次漏洞很可能源于价格预言机问题。

“任何人都可以更改 Kilo 的价格预言机。虽然他们验证了调用者是可信的转发者，但并未验证被转发的调用者，”Shou 解释道。

当有用户询问漏洞利用的复杂性时，Shou 补充道，这是一个“非常简单的漏洞”。

受此事件影响，据 CoinGecko 数据显示，KiloEX 的原生代币 Kilo 暴跌逾27%，交易价格报0.03596美元。目前，该价格较3月27日创下的0.1648美元的历史高点仍下跌逾78%。

KiloEx 成立于2023年，由币安实验室 (Binance Labs) 支持，后者是其主要投资者和战略合作伙伴。

值得注意的是，就在此次攻击发生的几天前，KiloEx 于4月13日宣布与总部位于迪拜的 Web3 风险投资公司 DWF Labs 建立合作伙伴关系。DWF Labs 承诺扩大 KiloEx 的市场份额并加速其增长。

此外，DWF Labs 于3月25日推出了2.5亿美元的流动基金，旨在推动中大型区块链项目的发展，并促进 Web3 技术在现实世界中的应用。