Злом KiloEX: Хакери забрали $7 млн з DEX через oracle-дірку

Перспективний DEX KiloEX раптово опинився в епіцентрі обговорень серед криптоентузіастів: платформа зазнала атаки, через яку спочатку вкрали понад $6 млн . На слід хакера першим вийшов детектив Чаофан Шоу – помітив аномальну активність і зчинив тривогу.

Виявилося, що дірка була прямо в механізмі, який відповідає за oracle — це внутрішній навігатор цін, який у них задає курс. Тільки от баг дозволяв будь-кому підмінити ці ціни, виставивши все, що душі завгодно. Звісно, зловмисники цим не забули скористатися і почали викачувати ліквідність.

Буквально за годину після атаки Cyvers Alerts підключилися до розслідування та викотили нову цифру: вже $7 млн у мінусі . Причому це не одиночна афера — хакери пройшлися кількома мережами, включаючи BNB Smart Chain , Base та Taiko. У списку постраждалих — безліч токенів, і на момент звіту атака ще не була зупинена.

Перші зачіпки вели до адреси, на яку закинули гроші через Tornado Cash , що дало підставу підозрювати старих знайомих – DPRK (КНДР) кібербанду. Все було зроблено за розумом: MetaMask, мости між мережами, обхід Ethereum, фокус на стейблі. За годину більша частина лута вже затишно лежала на парі жирних гаманців. Переказів у Tornado на той момент не зафіксували.

Особливо постраждали USDC та USDT . Зараз ончейн-детективи намагаються заморозити активи — одна з адрес на BNB Smart Chain вже помічена: на ній бовтається $3.1M у USDT .

Все це боляче вдарило по токену KILO – він пішов у мінус майже на 17% , впавши з $0.049 до $0.040 . Користувачі, які отримали airdrop в шоці – їх заощадження знецінилися в даний момент.

KiloEX був на підйомі – з 2023 року проект акумулював активність , розгойдував оберти і зростав у TVL . В останньому кварталі перед хаком був анонс ліквідити-івент, де можна було поганяти мем-токени з BNB Smart Chain. Обсяги теж не підкачали – за добу набігло $31.8M , з них $22M – на парі BTC/USDT .

Одна з фішок, що приваблювали народ, – airdrop farming та плечі до 100X . Народ ліз торгувати, щоби заробити на майбутніх плюшках. Тепер все заплановане виявилося під питанням: ті, хто набивав активність, втратили і токени, і стимули.

Проект працює за формулою ” все ончейн, без KYC “, і це подвійно посилює ситуацію: експлойтер міг спокійно зафіксувати прибуток і забрати його, не залишивши реальних слідів. KiloEX взагалі замахувався на те, щоб стати конкурентом таким важкоатлетам, як Hyperliquid і GMX , пропонуючи ті ж 100-кратні плечі на BTC, ETH і BNB, але при цьому залишався на більш скромних масштабах.

На старті команда підняла $750k за рахунок launchpool'ів , IDO та стратегічних інвесторів , серед яких YZi Labs та Manta Network . Продукт вбудувався в екосистему BNB Smart Chain і виглядав як міцний гравець на тлі зростання інтересу до перпетуалок. На жаль, тепер їм доведеться не просто латати дірки, а відновлювати довіру спільноти.

Источник: coinspot.io