تعرضت منصة KiloEx، وهي بورصة لامركزية لتداول العقود الآجلة الدائمة، لهجوم متطور في وقت سابق من يوم الثلاثاء مما أدى إلى تكبد المستخدمين خسائر تقدر بنحو 7 ملايين دولار.
تم اكتشاف الاستغلال عبر شبكات blockchain المتعددة ويبدو أنه نابع من ثغرة أمنية في نظام أوراكل الأسعار الخاص بالمنصة، وفقًا لشركة تحليل blockchain Cyvers.
قام مهاجم، باستخدام محفظة ممولة من خلال Tornado Cash – وهي أداة تحجب مسارات المعاملات – بتنفيذ سلسلة من المعاملات على شبكات Base وBNB Chain وTaiko للاستفادة من خلل في نظام أوراكل الأسعار الخاص بالمنصة، والذي سمح للمهاجم بالتلاعب بأسعار الأصول.
وقد أكدت شركة KiloEx منذ ذلك الحين حدوث الاختراق، وأوقفت عمليات المنصة، وهي تعمل الآن مع الشركاء لتتبع الأموال المسروقة وإدراج محفظة المهاجم في القائمة السوداء.
أوراكل هي أدوات قائمة على تقنية بلوكتشين، تنقل أي نوع من البيانات الخارجية إلى سلسلة الكتل، حيث تستخدم العقود الذكية هذه البيانات لاتخاذ قرارات تتعلق بتطبيق مالي. أي أن أوراكل يُخبر المنصة ما إذا كانت قيمة الإيثر (ETH) 2000 دولار أمريكي أم 3000 دولار أمريكي، مما يضمن إجراء الصفقات بأسعار سوقية عادلة.
لكن قد تكون أوراكل نقطة ضعف. في حالة كيلوإكس، استغل المهاجم ثغرة أمنية في التحكم بالوصول إلى أوراكل الأسعار – وهي في الأساس خلل سمح له بالتلاعب بالبيانات باستخدام قروض سريعة (أو سيولة مؤقتة) خدعت النظام وجعلته يصدق أسعارًا زائفة.
تلاعب المهاجم بالوسيط ليُبلغ عن سعر منخفض للغاية لعملة الإيثريوم (مثلاً، 100 دولار) عند فتح صفقة تداول بالرافعة المالية. تسمح الرافعة المالية للمتداولين باقتراض أموال لزيادة رهاناتهم، لذا فإن السعر المزيف قد يُحدث تشوهات هائلة.
هذا جعل الأمر يبدو وكأنهم حققوا ربحًا هائلاً، ثم سحبوه من خزنة KiloEx. كرر المهاجم هذا عبر Base وBNB Chain وTaiko، مستغلًا إعدادات KiloEx المتقاطعة لتحقيق أقصى قدر من المكاسب قبل أن تتمكن المنصة من الرد.
وفي إحدى المعاملات المبلغ عنها، حصل المهاجم على 3.12 مليون دولار في خطوة واحدة.
هذه ليست المرة الأولى التي تتعرض فيها منصة تمويل لامركزي للتلاعب ببيانات أوراكل. فقد استهدفت هجمات مماثلة منصات مثل مانجو ماركتس في عام ٢٠٢٢، حيث سُرقت ١٠٠ مليون دولار، وكريم فاينانس في عام ٢٠٢١، بخسائر بلغت ١٣٠ مليون دولار.
