Злоумышленник похитил с децентрализованной платформы 7 миллионов долларов в криптовалютах, используя "атаку оракула".
KiloEx, децентрализованная биржа вечных фьючерсов, предложила взломавшему ее хакеру 700 000 долларов за возврат части похищенных средств. Атака произошла вечером 14 апреля. Хакер манипулировал ценами на токены и сумел вывести с платформы 7 миллионов долларов в криптовалюте.
Кайверс первым сообщил об атаке. По имеющимся данным, злоумышленнику удалось вывести криптовалюту с нескольких блокчейнов: Base, BNB Chain и Taiko. После этого команда KiloEx подтвердила факт атаки, приостановила работу платформы и заявила, что "уязвимость была изолирована" и начато расследование.
В ходе атаки хакер использовал уязвимость в управлении ценовым оракулом. Оракулы собирают данные о ценах из различных сетей и предоставляют их децентрализованным приложениям, таким как KiloEx, для определения цен на активы во время торговли.
.Хакеру:
- KiloEx (@KiloEx_perp) Апрель 15, 2025
Наше расследование, проведенное при поддержке правоохранительных органов, агентств кибербезопасности и многочисленных бирж & протоколов моста, позволило обнаружить важную информацию о вашей деятельности.
Мы активно отслеживаем ваши адреса (0x551f3110f12c763d1611d5a63b5f015d1c1a954c,...
X
В данном случае злоумышленник воспользовался изъяном в системе ценообразования KiloEx и заставил платформу принимать ложные котировки. Затем он совершил несколько транзакций с использованием кредитного плеча, сообщает The Block. Данные показывают, что одна транзакция, проведенная во время атаки, стоила более 3 миллионов долларов.
KiloEx предлагает хакеру сделку по возврату 90 % средств
15 апреля команда KiloEx связалась с хакером с предложением: вернуть 90 % похищенных средств. Платформа предложила оставить оставшиеся 10 % (около 700 000 долларов) хакеру в качестве "вознаграждения".
"Мы опубликуем твит, подтверждающий ваше сотрудничество, и закроем дело без дальнейших действий. Если вы согласны, пожалуйста, свяжитесь с нами", - написала команда биржи.
KiloEx заявила, что в случае вашего отказа она будет сотрудничать с правоохранительными органами и предпримет юридические действия:
"В случае отказа от сотрудничества мы направим материалы расследования нашим партнерам по кибербезопасности и соответствующим органам. Ваша личность и действия будут раскрыты. Мы будем неустанно преследовать вас в судебном порядке. Выбор за вами. Действуйте сейчас, чтобы избежать необратимых последствий", - пригрозил KiloEx.
Схема, известная как "атака оракула", уже использовалась ранее. В 2022 году Абрахам Айзенберг похитил около 110 миллионов долларов у компании Mango Markets, используя так называемую "высокодоходную торговую стратегию", которая изменяла цены на фьючерсном рынке. Впоследствии он был арестован в Пуэрто-Рико и экстрадирован в США, где в 2024 году был осужден за мошенничество.
