“Децентралізована вічна біржа Kiloex опублікувала посмертне місце про його експлуатацію в розмірі 7 мільйонів доларів, що випливає з критичної вразливості розумного контракту. Згідно з доповіддю, питання виникло з договору TrustedForwarder, який успадкував від мінімум OpenZeppelin, але не зміг перекрити метод “виконати”, залишаючи його без дозволу. Цей нагляд дозволив зловмиснику маніпулювати торговими позиціями поперек”, – Напишіть: www.crypto.news
Децентралізована вічна біржа Kiloex опублікувала посмертне місце про його експлуатацію в розмірі 7 мільйонів доларів, що випливає з критичної вразливості розумного контракту.
Згідно з доповіддю, питання виникло з договору TrustedForwarder, який успадкував від мінімум OpenZeppelin, але не зміг перекрити метод “виконати”, залишаючи його без дозволу.
Цей нагляд дозволив зловмиснику маніпулювати торговими позиціями через кілька ланцюгів. 13 квітня зловмисник ініціював експлуатацію, знявши 1 ETH (ETH) з Tornado Cash, щоб фінансувати гаманці через ланцюги.
Зловмисник виконував експлуатацію за годину, зловживаючи відкритим методом для відкриття та закриття позицій за сприятливими цінами.
Вперше експлуатація була виявлена за допомогою Cyvers Alerts, які позначили підозрілу активність перехресного ланцюга через базу, тайко та ланцюг BNB. За даними Peckshield, втрати розповсюджувались через базу, OPBNB та BSC.
Хакерські переговори
Згідно з повідомленням, і після постійних переговорів хакер погодився на 10% утримання щедрості та систематично повернув усі викрадені активи до визначених багатосторонніх гаманців кілоки.
Кілоекс заявив, що вразливість була фіксована і підкреслювала, що жодна відкрита позиції не зіткнеться з ліквідацією. Натомість усі позиції будуть закриті на основі знімків цін, зроблених до нападу. Прибуток та втрати від періоду експлуатації не враховуватимуться до остаточних залишків користувачів.
Платформа також заявила, що вона працювала з поліцією та повільно для розслідування хакла.