Взлом KiloEX: Хакеры увели $7 млн с DEX через oracle-дыру

Перспективный DEX KiloEX внезапно оказался в эпицентре обсуждений среди криптоэнтузиастов: платформа подверглась атаке, из-за которой поначалу украли больше $6 млн. На след хакера первым вышел детектив Чаофан Шоу — заметил аномальную активность и поднял тревогу.

Оказалось, что дырка была прямо в механизме, который отвечает за oracle — это некий внутренний навигатор цен, который у них задаёт курс. Только вот баг позволял кому угодно подменить эти цены, выставив всё, что душе угодно. Естественно, злоумышленники этим не преминули воспользоваться и начали выкачивать ликвидность.

Буквально за час после атаки Cyvers Alerts подключились к расследованию и выкатили новую цифру: уже $7 млн в минусе. Причём это не одиночная афера — хакеры прошлись по нескольким сетям, включая BNB Smart Chain, Base и Taiko. В списке пострадавших — множество токенов, и на момент отчёта атака всё ещё не была остановлена.

Первые зацепки вели к адресу, на который закинули деньги через Tornado Cash, что дало основание подозревать старых знакомых — DPRK (КНДР) кибербанду. Всё было сделано по уму: MetaMask, мосты между сетями, обход Ethereum, фокус на стейблы. Через час большая часть лута уже уютно лежала на паре жирных кошельков. Переводов в Tornado на тот момент не зафиксировали.

Особо пострадали USDC и USDT. Сейчас ончейн-детективы пытаются заморозить активы — один из адресов на BNB Smart Chain уже помечен: на нём болтается $3.1M в USDT.

Всё это больно ударило по токену KILO — он ушёл в минус почти на 17%, свалившись с $0.049 до $0.040. Пользователи, получившие airdrop, мягко говоря, в шоке — их сбережения обесценились в момент.

KiloEX был на подъёме — с 2023 года проект аккумулировал активность, раскачивал обороты и рос в TVL. В последнем квартале прямо перед хаком был анонс ликвидити-ивент, где можно было погонять мем-токены из BNB Smart Chain. Объёмы тоже не подкачали — за сутки набежало $31.8M, из них $22M — на паре BTC/USDT.

Одна из фишек, привлекавших народ, — airdrop farming и плечи до 100X. Народ лез торговать, чтобы заработать на будущих плюшках. Теперь же все запланированное оказалось под вопросом: те, кто набивал активность, потеряли и токены, и стимулы.

Проект работает по формуле «всё ончейн, без KYC«, и это вдвойне усугубляет ситуацию: эксплойтер мог спокойно зафиксировать прибыль и унести её, не оставив реальных следов. KiloEX вообще замахивался на то, чтобы стать конкурентом таким тяжеловесам, как Hyperliquid и GMX, предлагая те же 100-кратные плечи на BTC, ETH и BNB, но при этом оставался на более скромных масштабах.

На старте команда подняла $750k за счёт launchpool’ов, IDO и стратегических инвесторов, в числе которых YZi Labs и Manta Network. Продукт встроился в экосистему BNB Smart Chain и выглядел как крепкий игрок на фоне растущего интереса к перпетуалкам. Увы, теперь им придётся не просто латать дыры, а восстанавливать доверие сообщества.