KiloEX, un sistema di scambio decentralizzato (DEX) costruito sulla catena BNB, ha subito un attacco da 7,5 milioni di dollari e ha sospeso le operazioni. Gli analisti della sicurezza descrivono l'hacking come un "exploit dell'oracolo dei prezzi". Binance Labs ha finanziato il DEX come parte del suo programma per supportare i progetti Binance Coin (BNB). KiloEX ha isolato l'exploit e ora sta cercando di rintracciare i fondi e recuperare i token rubati per i suoi utenti.
L'hacking ha interessato più token perché la piattaforma ha un design multi-catena, tra cui BNB Smart Chain, Taiko e Base. L'aggressore ha utilizzato un indirizzo con fondi provenienti da Tornado Cash, portando alcuni commentatori a ritenere che dietro l'attacco potrebbero esserci hacker nordcoreani a causa della loro propensione a utilizzare i mixer come parte dei loro attacchi. L'aggressore ha utilizzato MetaMask per trasferire i fondi. Per qualche ragione, l’hacker non ha preso di mira Ethereum ma si è invece concentrato sul ritiro delle stablecoin. I fondi rubati si trovavano in portafogli separati senza indicare che Tornado Cash fosse utilizzato per nascondere i token.
Chaofan Shou, co-fondatore di Fuzzland, ha affermato che l'attacco è stato molto probabilmente il risultato di un problema di oracolo dei prezzi perché chiunque può modificare l'oracolo dei prezzi di KiloEX. Secondo Shou, esiste un processo di inoltro fidato, ma non viene effettuata alcuna verifica una volta completato l'inoltro. Shou ha concluso che l'exploit era un processo molto semplice e, pertanto, avrebbe potuto essere prevenuto.
KiloEX ha isolato rapidamente l'attacco e ha sospeso la sua piattaforma. Ha contattato altre società di sicurezza per aiutare a tracciare i fondi. KiloEX ha sviluppato un nuovo approccio per gestire la violazione, premiando chiunque li abbia aiutati a recuperare i fondi rubati. Per prevenire questo tipo di attacco, KiloEX mira a creare un rapporto finale che delinei cosa è andato storto.
Gli utenti di KiloEX conservavano prevalentemente i loro token nel caveau KiloEX, che era l'obiettivo principale degli intrusi, causando le massime perdite per gli utenti. KiloEX ha poi condiviso l'indirizzo dell'aggressore in modo che altre piattaforme potessero impedire agli hacker di prelevare i fondi rubati. L’inserimento degli indirizzi nella lista nera è diventata l’ultima strategia adottata dalle piattaforme per impedire che il denaro rubato entri nell’economia in generale.
KiloEX esiste dal 2023 e recentemente ha iniziato ad espandere le sue operazioni. Il DEX ha introdotto più token meme basati su BNB che gli utenti possono scambiare. Nonostante il recente attacco, il DEX ha ancora un valore totale di circa 47,2 milioni di dollari. Il giorno scorso, KiloEX ha registrato un'attività di 31,8 milioni di dollari, di cui 22 milioni di dollari investiti nel trading BTC-USDT.
Gli oracoli dei prezzi fungono da gateway tra il DEX e il mondo esterno. Nel caso di KiloEX, prendono il prezzo di token come Bitcoin o Ethereum e utilizzano i dati per decidere quanti soldi ha guadagnato un trader. I Price Oracles, quindi, possono essere presi di mira dagli hacker perché teoricamente il prezzo potrebbe essere modificato a vantaggio dell'aggressore. È così che è avvenuto l’attacco KiloEX, con l’aggressore che ha manipolato il Price Oracle in modo che l’exchange pagasse una ricompensa sproporzionata. Secondo la cronologia delle transazioni, l’aggressore molto probabilmente ha impostato il prezzo dell’Ethereum a 100 dollari e poi ha cambiato il prezzo a 10.000 dollari, realizzando un grande profitto e ritirando tutto il denaro extra. Gli utenti di KiloEX, nel frattempo, hanno perso tutti i token guadagnati con fatica nel giro di pochi minuti.
KiloEX ha iniziato le sue operazioni quando i DEX perpetui sono diventati popolari, con il potenziale di autocustodia e un maggiore controllo sui tuoi fondi. KiloEX regola tutte le operazioni on-chain, il che significa che hai i tuoi fondi immediatamente. Tuttavia, nel caso dell'aggressore, la capacità di bloccare le transazioni ha permesso che i fondi rubati diventassero bloccati, immutabili, rubati per sempre e legittimati dalle attività on-chain. KiloEX, essendo un DEX, non offriva servizi KYC, consentendo transazioni anonime.