7,4 triệu đô la bị đánh cắp từ KiloEx, đây có phải là lỗ hổng mã nguồn hay hành vi tham ô?

avatar
Asher
1ngày trước
Bài viết có khoảng 2792từ,đọc toàn bộ bài viết mất khoảng 4 phút
Giá trị thị trường lưu hành của token này chưa đến 10 triệu đô la Mỹ, làm dấy lên câu hỏi liệu nhóm phát triển có khả năng trả tiền bồi thường hay không.

Bản gốc | Odaily Planet Daily ( @OdailyChina )

Tác giả | Asher ( @Asher_0210 )

7,4 triệu đô la bị đánh cắp từ KiloEx, đây có phải là lỗ hổng mã nguồn hay hành vi tham ô?

Sáng nay, địa chỉ của KiloEx, một nền tảng hợp đồng trên chuỗi được YZi Labs đầu tư, đã bị đánh cắp, với thiệt hại lên tới hơn 7 triệu đô la Mỹ, liên quan đến nhiều tài sản trên chuỗi như BNB Chain và Base. Theo dữ liệu trên chuỗi bị ảnh hưởng bởi vụ trộm, mã thông báo dự án KILO đã giảm 22,8% trong 24 giờ và hiện đang giao dịch ở mức 0,038 đô la. Hiện tại, theo số liệu chính thức , giá trị hợp đồng mở trên nền tảng KiloEx đã giảm xuống còn 6 triệu đô la Mỹ. Ngoài ra, theo dữ liệu của DefiLlama, TVL của KiloEx vẫn là 34 triệu đô la Mỹ.

7,4 triệu đô la bị đánh cắp từ KiloEx, đây có phải là lỗ hổng mã nguồn hay hành vi tham ô?

Biểu đồ giá KILO

Tiếp theo, Odaily Planet Daily sẽ giải quyết các lý do, phản hồi của nhóm và ý kiến của cộng đồng về vụ đánh cắp địa chỉ KiloEx.

Giới thiệu dự án KiloEx

7,4 triệu đô la bị đánh cắp từ KiloEx, đây có phải là lỗ hổng mã nguồn hay hành vi tham ô?

KiloEx là một sàn giao dịch phi tập trung tập trung vào giao dịch hợp đồng vĩnh viễn và hướng tới mục tiêu cung cấp cho người dùng trải nghiệm giao dịch thân thiện. KiloEx hỗ trợ nhiều blockchain, bao gồm BNB Chain, opBNB, Manta, Taiko và Base. KiloEx sử dụng cơ sở tỷ giá để neo giá hợp đồng vĩnh viễn với giá giao ngay nhằm đảm bảo tính ổn định và độ tin cậy của các giao dịch. Những lợi thế khi giao dịch trên nền tảng KiloEx là:

  • Không yêu cầu token Gas gốc: Hỗ trợ USDT/USDC để thanh toán phí Gas mà không cần trao đổi chuỗi chéo bổ sung;

  • Giao dịch không cần chữ ký, thao tác thuận tiện: không cần chữ ký rườm rà, quá trình giao dịch diễn ra suôn sẻ hơn;

  • Thực hiện hiệu quả, gần với trải nghiệm CEX: tối ưu hóa tốc độ giao dịch và cải thiện hiệu quả tương tác của người dùng.

Vào tháng 8 năm 2023, YZi Labs đã công bố khoản đầu tư vào bốn dự án MVB VI nổi bật, bao gồm hợp đồng vĩnh viễn DEX KiloEx (ba dự án còn lại là: dự án mở rộng Ethereum AltLayer, giao thức cho vay DeFi Kinza và trò chơi AI Sleepless AI) và KiloEx cũng là thành viên dự án của chương trình liên minh airdrop BNB Chain.

Vào ngày 27 tháng 3 năm nay, Binance Wallet và PancakeSwap đã hợp tác để ra mắt TGE độc quyền của KiloEx (KILO), được đăng ký vượt mức gần 300 lần. Ngoài ra, vào ngày TGE, Binance Alpha đã công bố ra mắt KiloEx (KILO).

Nguyên nhân gốc rễ của vụ trộm KiloEx là lỗ hổng kiểm soát truy cập của oracle giá

Theo dữ liệu giám sát trên chuỗi, giao thức hợp đồng vĩnh viễn phi tập trung KiloEx đã bị tin tặc tấn công, gây ra tổng thiệt hại tài sản khoảng 7,4 triệu đô la Mỹ, phân phối trên chuỗi cơ sở (khoảng 3,3 triệu đô la Mỹ), chuỗi opBNB (khoảng 3,1 triệu đô la Mỹ) và chuỗi thông minh BNB (khoảng 1 triệu đô la Mỹ).

Nguyên nhân gốc rễ của cuộc tấn công này là lỗ hổng nghiêm trọng trong kiểm soát quyền truy cập của oracle giá trong giao thức . Nói một cách dễ hiểu, oracle phải được cập nhật bởi một vai trò đáng tin cậy để cập nhật thông tin giá, nhưng do thiếu các hạn chế về thẩm quyền cần thiết nên kẻ tấn công có thể bỏ qua cơ chế xác minh và tùy ý can thiệp vào giá tài sản, qua đó thao túng logic hợp đồng.

7,4 triệu đô la bị đánh cắp từ KiloEx, đây có phải là lỗ hổng mã nguồn hay hành vi tham ô?

Phân tích các địa chỉ KiloEx bị đánh cắp

Theo phân tích sơ bộ của cơ quan bảo mật blockchain PeckShield, quy trình giao dịch của một trong những giao dịch khai thác lỗ hổng đã được tiết lộ chi tiết. Kẻ tấn công đầu tiên tạo ra một vị thế mới ở mức giá thấp bất thường của ETHUSD (chẳng hạn như 100 đô la), sau đó can thiệp một cách giả tạo vào giá ETH/USD thành mức giá hư cấu là 10.000 đô la và ngay lập tức đóng vị thế mà hầu như không có biến động thực tế nào của thị trường, qua đó đạt được lợi nhuận chênh lệch giá khổng lồ. Kẻ tấn công đã kiếm được tới 3,12 triệu đô la chỉ từ giao dịch này.

Hiện tại, địa chỉ tin tặc ( 0x00fac92881556a90fdb19eae9f23640b95b4bcbd ) vẫn tiếp tục chuyển tiền qua zkBridge và vẫn còn 5,4 triệu đô la trong địa chỉ chưa được chuyển.

7,4 triệu đô la bị đánh cắp từ KiloEx, đây có phải là lỗ hổng mã nguồn hay hành vi tham ô?

Địa chỉ tin tặc

Phản hồi chính thức của KiloEx về vụ trộm: KiloEx Vault đã bị tấn công

Để ứng phó với sự cố bảo mật lớn này, nhóm KiloEx đã đưa ra phản hồi chính thức sớm nhất có thể. Theo thông báo, mục tiêu của cuộc tấn công này là mô-đun tài sản cốt lõi của KiloEx - KiloEx Vault. Tin tặc đã sử dụng các biện pháp kỹ thuật để xâm nhập vào mô-đun và đánh cắp thành công một lượng lớn tiền trên nền tảng.

Vị quan chức này nhấn mạnh rằng sau sự cố, nhóm đã nhanh chóng thực hiện các biện pháp khẩn cấp, kêu gọi tất cả các bên tích hợp và hợp tác, các nền tảng giao dịch và nhà cung cấp dịch vụ bên thứ ba ngay lập tức đưa các địa chỉ tin tặc liên quan đến vụ việc vào danh sách đen để giảm thiểu việc tiếp tục lưu thông hoặc rửa tiền đánh cắp. Để khuyến khích cộng đồng nỗ lực hỗ trợ điều tra và theo dõi quỹ, KiloEx thông báo rằng họ sẽ triển khai chương trình tiền thưởng lỗ hổng bảo mật để thưởng cho các cá nhân và tổ chức có thể cung cấp thông tin lỗ hổng bảo mật hiệu quả hoặc hỗ trợ thu hồi tài sản.

Ngoài ra, các quan chức của KiloEx tuyên bố rằng cuộc tấn công đã được kiểm soát và các chức năng của nền tảng đã bị đình chỉ . KiloEx đang hợp tác chặt chẽ với một số cơ quan an ninh chuyên nghiệp để theo dõi dòng tiền và phân tích đường dẫn kỹ thuật của kẻ tấn công. Nhóm hiện đang phân tích các phương pháp cụ thể của cuộc tấn công này và các tài sản bị ảnh hưởng. Báo cáo sự cố đầy đủ dự kiến sẽ được công bố cho cộng đồng trong vài ngày tới.

Việc không đưa ra được một kế hoạch bồi thường cụ thể đã gây ra sự bất mãn trong cộng đồng

Mặc dù nhóm KiloEx đã phản ứng nhanh chóng sau sự cố và thực hiện một loạt các biện pháp bao gồm đình chỉ nền tảng, theo dõi tiền và can thiệp với các cơ quan an ninh, nhưng vấn đề chính mà cộng đồng quan tâm nhất, làm thế nào để bồi thường cho người dùng về những tổn thất của họ, lại không được đề cập trong thông báo, khiến người dùng thất vọng. Đặc biệt khi phải đối mặt với số tiền bị đánh cắp lên tới 7,4 triệu đô la Mỹ, người dùng rất muốn biết liệu nền tảng này có chịu trách nhiệm và có cơ chế bồi thường hay không, nhưng nội dung liên quan thì luôn vắng bóng.

Việc thiếu phản hồi này nhanh chóng làm dấy lên nhiều câu hỏi trong cộng đồng . Phần bình luận trên mạng xã hội của KiloEx tràn ngập những lời lẽ gay gắt như tham ô, đã bỏ trốn và tự ý hành động và chỉ đạo. Một số người dùng thậm chí còn nói: Giá trị thị trường hiện tại chỉ là 8 triệu đô la Mỹ, và 7,4 triệu đô la Mỹ đã bị đánh cắp. Bạn sẽ bồi thường như thế nào?

Hiện tại, nhóm KiloEx vẫn chưa đưa ra tuyên bố công khai nào về vấn đề bồi thường, điều này có thể gây ra nhiều cuộc tranh cãi về quyền bảo vệ người dùng và cơn bão rút tài sản. Odaily Planet Daily cũng sẽ theo dõi báo cáo này.

Bài viết gốc, tác giả:Asher。Tuyển dụng: Nhân viên kinh doanh phần mềm theo dự án report@odaily.email;Vi phạm quy định của pháp luật.

Odaily nhắc nhở, mời đông đảo độc giả xây dựng quan niệm đúng đắn về tiền tệ và khái niệm đầu tư, nhìn nhận hợp lý về blockchain, nâng cao nhận thức về rủi ro; Đối với manh mối phạm tội phát hiện, có thể tích cực tố cáo phản ánh với cơ quan hữu quan.

Sự an toàn
DeFi
Asher

Asher

Xem thêm
Đọc nhiều nhất
Lựa chọn của người biên tập
twitter.png
discord.png
telegram.png Group
telegram.png Channel
weibo.png
Github.png