A DEX KiloEx 7 millió dollárt veszít egy nyilvánvaló Oracle-manipulációs támadásban

A DEX KiloEx 7 millió dollárt veszít egy nyilvánvaló Oracle-manipulációs támadásban

A KiloEx-et, az örökös határidős ügyletek kereskedésére szolgáló decentralizált tőzsdét (DEX) kedden korábban egy kifinomult támadás érte, amely mintegy 7 millió dolláros veszteséget okozott a felhasználóknak.

A támadás több blokklánchálózaton keresztül bontakozott ki, és úgy tűnt, hogy a platform árorákulum rendszerének sebezhetőségéből ered, a Cyvers blokkláncelemző cég szerint.

Egy támadó a Tornado Cash - egy olyan eszköz, amely eltakarja a tranzakciós nyomokat - segítségével finanszírozott pénztárcát használva tranzakciók sorozatát hajtotta végre a Base, BNB Chain és Taiko hálózatokon, hogy kihasználja a platform árorákulum rendszerének hibáját, ami lehetővé tette a támadó számára az eszközárak manipulálását.

A KiloEx azóta megerősítette a betörést, felfüggesztette a platform működését, és jelenleg a partnerekkel együttműködve próbálja lenyomozni az ellopott pénzeszközöket és feketelistára tenni a támadó pénztárcáját.

Az orákulumok olyan blokklánc-alapú eszközök, amelyek bármilyen típusú külső adatot továbbítanak a blokkláncra, ahol az okos szerződések ezeket az adatokat használják fel, hogy döntéseket hozzanak egy pénzügyi alkalmazás számára. Vagyis az orákulum megmondja a platformnak, hogy az ether (ETH) 2000 vagy 3000 dollárt ér-e, így biztosítva, hogy a kereskedés tisztességes piaci áron történjen.

Az orákulumok azonban gyenge láncszemek lehetnek. A KiloEx esetében a támadó kihasználta az árorakula hozzáférés-szabályozási sebezhetőségét - lényegében egy olyan hibát, amely lehetővé tette, hogy flash-hitelek (vagy ideiglenes likviditás) segítségével manipulálják az adatokat, amelyekkel a rendszert hamis árakkal hitegették.

A támadó úgy manipulálta az oracle-t, hogy abszurdan alacsony ETH-árat (mondjuk 100 dollárt) jelentsen, amikor tőkeáttételes kereskedési pozíciót nyitott. A tőkeáttétel lehetővé teszi a kereskedők számára, hogy a tétjeik felerősítéséhez kölcsönöket vegyenek fel, így egy hamis ár hatalmas torzulásokat okozhat.

Ez azt a látszatot keltette, mintha hatalmas nyereséget értek volna el, amit aztán kivettek a KiloEx páncélterméből. A támadó ezt megismételte a Base, a BNB Chain és a Taiko esetében, kihasználva a KiloEx láncok közötti beállítását, hogy maximalizálja a nyereséget, mielőtt a platform reagálni tudott volna.

Egy bejelentett tranzakció során a támadó egyetlen mozdulattal 3,12 millió dollárt szerzett.

Nem ez az első alkalom, hogy egy DeFi platformot oracle manipulációval támadnak meg. Hasonló támadások olyan platformokat értek, mint a Mango Markets 2022-ben, ahol 100 millió dollárt loptak el, és a Cream Finance 2021-ben, 130 millió dolláros veszteséggel.

(Pixabay)

Via: CoinDesk: Bitcoin, Ethereum, Crypto News and Price Data