「预言机漏洞」成破口！KiloEx 遭骇客攻击损失 7 百万美元

由 YZi Labs 投资的去中心化永续合约交易所 KiloEx 惊传遇骇，攻击者利用预言机（Oracle）漏洞横跨多个区块链网路发动攻击，短短数小时内窃走 700 万美元资产。

区块链安全公司 Cyvers 指出，这起攻击是由一个透过 Tornado Cash（混币服务）洗钱的钱包发起，在 Base 、 BNB Chain 与 Taiko 链上同步发动攻势，锁定 KiloEx 预言机存取控制漏洞，利用闪电贷手法操纵资产价格，随后从平台提走巨额资金。

🚨7M HACK ALERT🚨Our system has detected multiple suspicious transactions involving @KiloEx_perp across several chains.

An address funded via @TornadoCash has executed a series of exploitative transactions on the $BNB, $Base, and $Taiko chains — accumulating approximately $7M in… pic.twitter.com/od4UTsSrXs

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) April 14, 2025

KiloEx 证实遭攻击、暂停平台服务

KiloEx 稍早已证实遭到攻击，并紧急暂停平台服务，目前正与多方合作展开调查，以追踪骇客钱包、锁定资金流向，尝试冻结遭窃资金。

预言机是区块链金融应用中连接链上、链下世界的重要桥梁，负责提供如加密货币报价等外部数据，让智能合约能据此判断市场价格、执行交易。然而，一旦预言机机制稍有瑕疵，就可能沦为骇客入侵的破口。

本次事件中，由于 KiloEx 预言机的权限验证设计不当，让攻击者能利用闪电贷（或临时流动性）来篡改数据、伪造市场价格。

举例来说，攻击者将以太币价格压低至极不合理的水平（如 100 美元），再开出高杠杆多单，瞬间创造帐面获利，随即提领资金。

这套攻击手法在 Base 、 BNB Chain 与 Taiko 链上反复套用，其中单笔最大获利达 312 万美元，合计套利约 700 万美元。

受消息影响，KiloEx 原生代币 KILO 今（15）日大幅下挫，写稿时报 0.03821 美元，过去 24 小时下跌超过 28% 。该代币自 3 月 27 日创下 0.1648 美元的历史高点以来，已回档超过 76% 。 

预言机攻击并非首例，DeFi 安全问题再度浮上台面

实际上，KiloEx 并非首个因预言机漏洞遭攻击的 DeFi 平台。 2021 年 Cream Finance 就曾因类似手法损失逾 1.3 亿美元；2022 年 Mango Markets 更惨赔 1 亿美元。此次事件无疑再次点燃业界对预言机设计与防御机制的警觉。

如今，随著越来越多 DeFi 协议横跨多链、多资产运作，安全挑战也变得更加复杂。随著生态日渐壮大，如何强化预言机机制、防堵合约漏洞，将是平台能否永续经营的关键。