Криптобиржа KiloEX предложила взломавшему ее хакеру $700 тыс. В чем дело

[ANALitik]

KiloEx, децентрализованная биржа бессрочных фьючерсов, предложила взломавшему ее хакеру $700 тыс. за возврат части украденных средств. Биржа была взломана вечером 14 апреля. Хакер манипулировал ценами токенов, что позволило ему вывести с площадки криптовалюту на $7 млн.

Компания Cyvers первой сообщила о взломе. По их данным, злоумышленник смог вывести криптовалюты из нескольких блокчейнов: Base, BNB Chain и Taiko. Команда KiloEx позже подтвердила взлом, приостановила работу платформы и заявила, что «уязвимость локализована» и начато расследование.

При взломе хакер воспользовался уязвимостью в управлении ценовым оракулом. Оракулы собирают данные о котировках из различных сетей и передают их децентрализованным приложениям, таким как KiloEx, для определения цен на активы в ходе торговли.

В данном случае злоумышленник воспользовался лазейкой в системе ценообразования KiloEx и заставил платформу принять ложные котировки. Затем он провел несколько сделок с кредитным плечом, по информации The Block. Данные показали, что прибыль от одной такой транзакции на KiloEx во время инцидента составила более $3 млн.

15 апреля команда KiloEx обратилась к хакеру с предложением вернуть 90% украденных средств. Остальные 10% (около $700 тыс.) платформа предложила оставить взломщику в качестве «баунти».

«Мы опубликуем в твиттере это решение, признавая ваше сотрудничество и закрывая дело без дальнейших действий. Если вы согласны, пожалуйста, свяжитесь с нами», — написала команда биржи.

Если злоумышленник проигнорирует предложение KiloEx, биржа пообещала расследовать инцидент совместно с правоохранителями и обратиться в суд:

«Если вы не подчинитесь требованиям: мы передадим материалы расследования в правоохранительные органы и партнерам по кибербезопасности. Ваша личность и действия будут раскрыты соответствующим органам. Мы будем неустанно добиваться судебного разбирательства. Выбор за вами. Действуйте прямо сейчас, чтобы избежать необратимых последствий», — пригрозили в KiloEx.

Схема под названием «атака оракула» уже использовалась ранее. В 2022 году Авраам Айзенберг украл около $110 млн у Mango Markets, используя то, что он назвал «высокодоходной торговой стратегией», которая изменяет рыночные цены на фьючерсы. Чуть позже его арестовали в Пуэрто-Рико и экстрадировали в США, где в 2024 году он был осужден по обвинению в мошенничестве.