نشرت بورصة KiloEx اللامركزية للتداول الدائم تقريرًا بعد الوفاة حول استغلالها بقيمة 7 ملايين دولار ناتج عن ثغرة خطيرة في العقود الذكية.
وفقًا للتقرير ، نشأت المشكلة من عقد TrustedForwarder، الذي ورث من MinimalForwarderUpgradeable الخاص بـ OpenZeppelin ولكنه فشل في تجاوز طريقة "التنفيذ"، مما جعله بلا أذونات.
سمح هذا الإهمال للمهاجم بالتلاعب بمراكز التداول عبر عدة سلاسل. في 13 أبريل، بدأ المهاجم عملية الاستغلال بسحب 1 إيثريوم ( ETH ) من تورنادو كاش لتمويل محافظ عبر السلاسل.
قام المهاجم بتنفيذ العملية في أقل من ساعة عن طريق إساءة استخدام طريقة الفتح لفتح وإغلاق المراكز بأسعار مناسبة.
تم اكتشاف هذه الثغرة لأول مرة بواسطة Cyvers Alerts، التي أشارت إلى نشاط مشبوه عبر سلاسل Base وTaiko وBNB. ووفقًا لـ PeckShield ، توزعت الخسائر على Base وopBNB وBSC.
مفاوضات القراصنة
وبحسب التقرير، وبعد مفاوضات مطولة، وافق المخترق على الاحتفاظ بمكافأة قدرها 10% وإعادة جميع الأصول المسروقة بشكل منهجي إلى محافظ التوقيعات المتعددة الآمنة المخصصة من KiloEx.
أعلنت شركة KiloEx عن إصلاح الثغرة الأمنية، مؤكدةً عدم تعرض أي مراكز مفتوحة للتصفية. بل سيتم إغلاق جميع المراكز بناءً على لقطات الأسعار المأخوذة قبل الهجوم. ولن تُحتسب الأرباح والخسائر الناتجة عن فترة الاستغلال ضمن أرصدة المستخدمين النهائية.
وقالت المنصة أيضًا إنها عملت مع الشرطة وSlowMist للتحقيق في عملية الاختراق.
