KiloEx, eine dezentrale Handelsplattform für Perpetual-Futures, wurde am Dienstag Opfer eines raffinierten Angriffs. Der Schaden: rund 7 Millionen US-Dollar.
Das Wichtigste in Kürze:
- Der Angreifer nutzte eine Schwachstelle im Preis-Oracle-System von KiloEx aus – einem Mechanismus, der externe Preisdaten für Smart Contracts liefert.
- Mit einem über Tornado Cash finanzierten Wallet manipulierte er Preise über mehrere Blockchains hinweg: Base, BNB Chain und Taiko.
- Durch künstlich niedrige ETH-Preise eröffnete der Angreifer gehebelte Positionen, die hohe „Gewinne“ vorgaukelten – diese zog er dann aus den KiloEx-Tresoren ab.
- In einer Transaktion konnte er über 3,12 Mio. USD erbeuten.
- KiloEx hat den Betrieb vorerst eingestellt und arbeitet mit Partnern daran, die gestohlenen Gelder zu verfolgen und die Wallet des Angreifers zu blockieren.
- Zudem bietet die Plattform dem Angreifer 10 % Finderlohn, wenn er 90 % der Beute zurückgibt.
Hintergrund:
Oracles sind entscheidend für DeFi-Anwendungen, da sie aktuelle Preisdaten liefern. Doch wenn Angreifer diese manipulieren – etwa durch Flash Loans und fehlerhafte Zugriffskontrollen –, können sie Preise fälschen und sich unrechtmäßig bereichern.
Solche Angriffe gab es bereits bei anderen DeFi-Plattformen:
- Mango Markets (2022): 100 Mio. USD gestohlen
- Cream Finance (2021): 130 Mio. USD Verlust
Der Fall KiloEx zeigt erneut, wie anfällig dezentrale Plattformen gegenüber gezielten Oracle-Manipulationen sein können.
2 weeks