「预言机漏洞」成破口!KiloEx 遭骇客攻击损失 7 百万美元

百款NFT链游免费玩 数字货币支付图解教程 区块链游戏获利技巧

由 YZi Labs 投资的去中心化永续合约交易所 KiloEx 惊传遇骇,攻击者利用预言机(Oracle)漏洞横跨多个区块链网路发动攻击,短短数小时内窃走 700 万美元资产

区块链安全公司 Cyvers 指出,这起攻击是由一个透过 Tornado Cash(混币服务)洗钱的钱包发起,在 Base 、 BNB Chain 与 Taiko 链上同步发动攻势,锁定 KiloEx 预言机存取控制漏洞,利用闪电贷手法操纵资产价格,随后从平台提走巨额资金。

KiloEx 证实遭攻击、暂停平台服务

KiloEx 稍早已证实遭到攻击,并紧急暂停平台服务,目前正与多方合作展开调查,以追踪骇客钱包、锁定资金流向,尝试冻结遭窃资金。

预言机是区块链金融应用中连接链上、链下世界的重要桥梁,负责提供如加密货币报价等外部数据,让智能合约能据此判断市场价格、执行交易。然而,一旦预言机机制稍有瑕疵,就可能沦为骇客入侵的破口。

本次事件中,由于 KiloEx 预言机的权限验证设计不当,让攻击者能利用闪电贷(或临时流动性)来篡改数据、伪造市场价格

举例来说,攻击者将以太币价格压低至极不合理的水平(如 100 美元),再开出高杠杆多单,瞬间创造帐面获利,随即提领资金。

这套攻击手法在 Base 、 BNB Chain 与 Taiko 链上反复套用,其中单笔最大获利达 312 万美元,合计套利约 700 万美元。

受消息影响,KiloEx 原生代币 KILO 今(15)日大幅下挫,写稿时报 0.03821 美元,过去 24 小时下跌超过 28% 。该代币自 3 月 27 日创下 0.1648 美元的历史高点以来,已回档超过 76% 。 

预言机攻击并非首例,DeFi 安全问题再度浮上台面

实际上,KiloEx 并非首个因预言机漏洞遭攻击的 DeFi 平台。 2021 年 Cream Finance 就曾因类似手法损失逾 1.3 亿美元;2022 年 Mango Markets 更惨赔 1 亿美元。此次事件无疑再次点燃业界对预言机设计与防御机制的警觉。

如今,随著越来越多 DeFi 协议横跨多链、多资产运作,安全挑战也变得更加复杂。随著生态日渐壮大,如何强化预言机机制、防堵合约漏洞,将是平台能否永续经营的关键。

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表区块客观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及区块客将不承担任何责任。

百款NFT链游免费玩 数字货币支付图解教程 区块链游戏获利技巧