Vào ngày 15/04, sàn DEX KiloEX xác nhận bị hack 7,5 triệu USD do lỗi oracle và đã tạm ngừng hoạt động để điều tra, truy vết dòng tiền.
Sàn DEX KiloEX bị hack 7,5 triệu USD, giá KILO lao dốc hơn 30%
Rạng sáng ngày 15/04, nền tảng bảo mật Web3 Cyvers Alerts thông báo đã phát hiện một loạt giao dịch bất thường liên quan đến sàn DEX KiloEX trên nhiều blockchain khác nhau.
Theo Cyvers, kẻ tấn công đã sử dụng địa chỉ được cấp vốn qua Tornado Cash để thực hiện chuỗi giao dịch khai thác, chiếm đoạt tổng cộng khoảng 7 triệu USD. Nguyên nhân ban đầu được xác định là do lỗi kiểm soát truy cập trong hệ thống oracle, cho phép hacker thao túng giá tài sản trên các hợp đồng thông minh.
Ngay sau cảnh báo từ Cyvers, đội ngũ KiloEX đã xác nhận công cụ Vault của sàn đã bị khai thác thông qua ví 0x00fac92881556a90fdb19eae9f23640b95b4bcbd. KiloEX kêu gọi tất cả các đối tác và nền tảng trong hệ sinh thái ngay lập tức đưa địa chỉ này vào blacklist để ngăn chặn hành vi xấu tiếp diễn.
Phía KiloEX cũng cho biết họ đã kiểm soát được vụ tấn công và ngay lập tức tạm ngừng toàn bộ hoạt động của nền tảng để phục vụ điều tra, đồng thời phối hợp với các đối tác bảo mật và các hệ sinh thái liên quan để truy vết dòng tiền xác định rõ cách thức hacker tấn công và cố gắng thu hồi những tài sản đã bị ảnh hưởng.
Dự án cũng thông báo sẽ sớm triển khai chương trình bounty để khuyến khích hacker hoàn trả tài sản, đồng thời cam kết công bố báo cáo chi tiết về toàn bộ sự cố để minh bạch với cộng đồng.
Theo báo cáo từ công ty bảo mật PeckShield, tổng thiệt hại ước tính khoảng 7,5 triệu USD, cụ thể:
PeckShield cho biết hacker đã khai thác lỗ hổng trong cách KiloEX xác định giá ETH/USD từ oracle. Kẻ tấn công mở một vị thế với giá ETH/USD giả chỉ 100 USD, sau đó đóng vị thế khi giá được đẩy lên 10.000 USD, qua đó kiếm lời 3,12 triệu USD chỉ trong một giao dịch.
Phân tích sâu hơn từ Chaofan Shou, đồng sáng lập nền tảng phân tích on-chain Fuzzland, cho thấy lỗ hổng nằm ở cơ chế xác thực quyền truy cập oracle. Mặc dù hợp đồng thông minh yêu cầu người gọi phải là “trusted forwarder” nhưng lại không kiểm tra kỹ xem ai là người thực sự khởi tạo giao dịch ban đầu. Đây là một sai sót đơn giản trong logic xác thực nhưng lại đủ để tạo ra lỗ hổng nghiêm trọng cho hacker khai thác.
Để dễ hình dung hơn, lỗi bảo mật của KiloEX giống như việc bạn chỉ kiểm tra người giao hàng có đúng là nhân viên thật sự không mà quên mất phải kiểm tra người gửi là ai.
Kẻ xấu đã tạo ra một “kiện hàng giả”, rồi nhờ người giao hàng chuyển giúp. Vì thấy người giao hàng uy tín, bạn tin tưởng mở gói hàng và bị lừa đảo. Dù người giao hàng không làm gì sai, nhưng chính việc không xác minh người gửi thật sự đã khiến bạn rơi vào bẫy.
Không lâu sau đó, đội ngũ KiloEX tiếp tục cập nhật diễn biến mới của vụ việc, dự án cho biết:
Đáng chú ý, KiloEx tiết lộ thêm rằng hacker đang sử dụng các công cụ cross-chain như zkBridge và Meson để chuyển tài sản đánh cắp, khiến việc truy vết và phong tỏa dòng tiền trở nên khó khăn hơn. Đội ngũ KiloEX cho biết đang khẩn trương liên hệ với cả hai nền tảng này để yêu cầu hỗ trợ dừng các giao dịch đang diễn ra, nhằm ngăn chặn tổn thất tiếp theo.
Hai ví chính được xác định là của kẻ tấn công gồm:
Hiện tại, hai ví liên quan đến vụ tấn công đang nắm giữ tổng cộng khoảng 8,2 triệu USD, trong đó 3,8 triệu USD là stablecoin USDT và 2,1 triệu USD dưới dạng WBTC.
Ngay sau khi thông tin vụ hack được công bố, giá token KILO của sàn KiloEX đã lao dốc hơn 31,9% trong 24 giờ qua, hiện chỉ còn 0,035 USD. Tính từ đỉnh 0,153 USD được ghi nhận kể từ khi ra mắt vào ngày 27/03, giá KILO đã bốc hơi gần 78% giá trị.
Biến động giá KILO kể từ khi ra mắt vào ngày 27/03, ảnh chụp màn hình trên CoinGecko lúc 10:30 AM ngày 15/04/2025
Coin68 tổng hợp
Nguồn: https://coin68.com/san-dex-kiloex-bi-hack-75-trieu-usd-gia-kilo-giam-30/
