Kiloex, une bourse décentralisée (DEX) pour le commerce des contrats à terme perpétuels, a été frappé par une attaque sophistiquée mardi qui a laissé les utilisateurs sous le choc d’environ 7 millions de dollars.
L’exploit s’est déroulé sur plusieurs réseaux de blockchain et semblait provenir d’une vulnérabilité dans le système Oracle Price Oracle de la plate-forme, par société d’analyse blockchain Cyvers.
Un attaquant, en utilisant un portefeuille financé par Tornado Cash – un outil qui obscurcit les sentiers de transaction – a exécuté une série de transactions sur les réseaux de base, la chaîne BNB et Taiko pour profiter d’un défaut dans le système Oracle Price de la plate-forme, qui a permis à l’attaquant de manipuler les prix des actifs.
Kiloex a depuis confirmé la violation, les opérations de plate-forme suspendue et travaille maintenant avec des partenaires pour retracer les fonds volés et liste noire le portefeuille de l’attaquant.
Les oracles sont des outils basés sur la blockchain qui relayent tout type de données extérieures à une blockchain, où les contrats intelligents utilisent ces données pour prendre des décisions pour une application financière. Autrement dit, l’Oracle indique à la plate-forme si Ether (ETH) vaut 2 000 $ ou 3 000 $, garantissant que les transactions se produisent à des prix du marché équitable.
Mais les oracles peuvent être un lien faible. Dans le cas de Kiloex, l’attaquant a exploité une vulnérabilité de contrôle d’accès Oracle Price – essentiellement, un défaut qui les a permis de falsifier des données en utilisant des prêts flash (ou une liquidité temporaire) qui a incité le système à croire de faux prix.
L’attaquant a manipulé l’Oracle pour signaler un prix absurdement bas pour ETH (disons, 100 $) lors de l’ouverture d’une position de négociation à effet de levier. Le levier permet aux commerçants d’emprunter des fonds pour amplifier leurs paris, donc un faux prix peut créer des distorsions massives.
Cela donnait l’impression qu’ils avaient réalisé un énorme profit, qu’ils ont ensuite retiré du coffre-fort de Kiloex. L’attaquant l’a répété à travers la base, la chaîne BNB et Taiko, exploitant la configuration croisée de Kiloex pour maximiser les gains avant que la plate-forme ne puisse réagir.
Dans une transaction signalée, l’attaquant a rapporté 3,12 millions de dollars en une seule décision.
Ce n’est pas la première fois qu’une plate-forme Defi est frappée par la manipulation d’Oracle. Des attaques similaires ont ciblé des plates-formes comme les marchés de mangue en 2022, où 100 millions de dollars ont été volés et le financement de la crème en 2021, avec des pertes de 130 millions de dollars.