Децентрализованная биржа бессрочных фьючерсов KiloEx предложила взломавшему ее хакеру 700 000 долларов за возврат части украденных средств.
Как сообщает The Block, биржа была взломана вечером 14 апреля. Хакер манипулировал ценами токенов, что позволило ему вывести с площадки криптовалюту на 7 млн долларов, передает media.az
Компания Cyvers первой сообщила о взломе. По их данным, злоумышленник смог вывести криптовалюты из нескольких блокчейнов: Base, BNB Chain и Taiko. Команда KiloEx позже подтвердила взлом, приостановила работу платформы и заявила, что «уязвимость локализована» и начато расследование.
При взломе хакер воспользовался уязвимостью в управлении ценовым оракулом. Оракулы собирают данные о котировках из различных сетей и передают их децентрализованным приложениям, таким как KiloEx, для определения цен на активы в ходе торговли.
В данном случае злоумышленник воспользовался лазейкой в системе ценообразования KiloEx и заставил платформу принять ложные котировки. Затем он провел несколько сделок с кредитным плечом. Данные показали, что прибыль от одной такой транзакции на KiloEx во время инцидента составила более 3 млн долларов.
Команда KiloEx 15 апреля обратилась к хакеру с предложением вернуть 90% украденных средств. Остальные 10% (около 700 000 долларов) платформа оставляла взломщику в качестве «баунти».
«Мы опубликуем в Twitter это решение, признавая ваше сотрудничество и закрывая дело без дальнейших действий. Если вы согласны, пожалуйста, свяжитесь с нами», — написала команда биржи.
Если злоумышленник проигнорирует предложение KiloEx, биржа пообещала расследовать инцидент совместно с правоохранителями и обратиться в суд.
«Если вы не подчинитесь требованиям, мы передадим материалы расследования в правоохранительные органы и партнерам по кибербезопасности. Ваша личность и действия будут раскрыты соответствующим органам. Мы будем неустанно добиваться судебного разбирательства. Выбор за вами. Действуйте прямо сейчас, чтобы избежать необратимых последствий», — пригрозили в KiloEx.
Схема под названием «атака оракула» уже использовалась ранее. В 2022 году Авраам Айзенберг украл около 110 млн долларов у Mango Markets, используя то, что он назвал «высокодоходной торговой стратегией», которая изменяет рыночные цены на фьючерсы. Чуть позже его арестовали в Пуэрто-Рико и экстрадировали в США, где в 2024 году он был осужден по обвинению в мошенничестве.