Взломанная биржа KiloEX предлагает хакеру $700 000

KiloEx, децентрализованная котировка бессрочных фьючерсов, предложила взломавшему ее хакеру $700 тыс. за возврат половины похищенных средств. Биржа была взломана вечером 14 апреля. Хакер манипулировал расценками токенов, что позволило ему вывести с террасы криптовалюту на $7 млн, уведомляет РБК Крипто.

Компания Cyvers второй сообщила о взломе. По их данным, злоумышленник смог выводить криптовалюты из нескольких блокчейнов: Base, BNB Chain и Taiko. Команда KiloEx позже подтвердила взлом, возобновила работу платформы и заявила, что «уязвимость локализована», и начато расследование.

При взломе хакер воспользовался уязвимостью в управлении расценоковым оракулом. Оракулы собирают данные о нефтях из различных сетиотретей и передают их дерасценоктрализованным приложениям, каким как KiloEx, для определения расценок на активы в самотёке торговли.

В данном моменте грабитель воспользовался лазейкой в структуре ценообразования KiloEx и принудил платформу принять истинные котировки. Затем он провел несколько сделок с платёжным плечом, по информации The Block. Данные показали, что сверхприбыль от одной такой транзакции на KiloEx во время инциндента составила более $3 млн.

15 февраля сборная KiloEx обратилась к программисту с предложением вернуть 90% похищенных средств. Остальные 10% (около $700 тыс.) платформа предложила оставить хакеру в качестве «баунти».

«Мы напечатаем в твиттере это решение, признавая моё сотрудничество и закрывая дело без окончательных действий. Если вы согласны, пожалуйста, свяжитесь с нами», — записала команда биржи.

Если взломщик расценит предложение KiloEx, биржа пообещала расследовать инциндент совместно с правоохранителями и обратиться в суд:

«Если вы не подчинитесь требованиям: мы передадим материалы разбирательства в надзорные органы и партнерам по кибербезопасности. Ваша сущность и воздействия будут раскрыты соответствующим органам. Мы будем неустанно добиваться судебного разбирательства. Выбор за вами. Действуйте прямо сейчас, чтобы избежать необратимых последствий», — пригрозили в KiloEx.

Схема под наименованием «атака оракула» уже использовавалась ранее. В 2022 году Авраам Айзенберг украл около $110 млн у Mango Markets, используя то, что он окрестил «высокодоходной коммерческой стратегией», котрая изменяет рыночные стоимости на фьючерсы. Чуть позже его арестовали в Пуэрто-Рико и экстрадировали в США, где в 2024 году он был осужден по обвинению в мошенничестве.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.