Kiloex, un échange décentralisé (DEX) construit sur la chaîne BNB, a subi une attaque de 7,5 millions de dollars et a suspendu les opérations.

Kiloex, un échange décentralisé (DEX) construit sur la chaîne BNB, a subi une attaque de 7,5 millions de dollars et a suspendu les opérations. Les analystes de sécurité décrivent le hack comme un «prix Oracle Exploit».

KiloEX, a Decentralized Exchange (DEX) built on the BNB chain, has suffered a $7.5 million crypto theft and has subsequently suspended operations.

Kiloex, un échange décentralisé (DEX) construit sur la chaîne BNB, a subi un vol cryptographique de 7,5 millions de dollars et a par la suite suspendu les opérations.

Security analysts have described the hack as a ‘price oracle exploit.’ Binance Labs funded the DEX as part of its program to support Binance Coin (BNB) projects.

Les analystes de sécurité ont décrit le hack comme un «prix Oracle Exploit». Binance Labs a financé le DEX dans le cadre de son programme pour soutenir les projets Binance Coin (BNB).

The hack has affected a multi-chain platform with support for BNB Smart Chain, Taiko, and Base. The attacker used an address with funds previously deposited into Tornado Cash. Some reports claim that North Korean hackers may be behind the attack due to their known use of mixers and prior attacks on crypto protocols. Afterwards, the attacker used MetaMask to transfer the funds.

Le piratage a affecté une plate-forme multi-chaîne avec la prise en charge de la chaîne intelligente BNB, du Taiko et de la base. L'attaquant a utilisé une adresse avec des fonds précédemment déposés en espèces de tornade. Certains rapports affirment que les pirates nord-coréens peuvent être à l'origine de l'attaque en raison de leur utilisation connue de mélangeurs et des attaques antérieures contre les protocoles de crypto. Ensuite, l'attaquant a utilisé Metamask pour transférer les fonds.

However, the hacker did not target ETH but instead focused on withdrawing stablecoins. The stolen funds were then put into separate wallets without any further indication that Tornado Cash was being used to try and hide the tokens.

Cependant, le pirate n'a pas ciblé ETH, mais a plutôt concentré sur le retrait des stablecoins. Les fonds volés ont ensuite été placés dans des portefeuilles séparés sans aucune autre indication que de l'argent de la tornade était utilisé pour essayer de cacher les jetons.

Chaofan Shou, co-founder of Fuzzland, said the attack was most likely the result of a price oracle issue because anyone can change the price oracle of KiloEX. There is a trusted forwarder process, but there is no verification after the forward is completed, according to Shou.

Chaofan Shou, co-fondateur de Fuzzland, a déclaré que l'attaque était probablement le résultat d'un problème d'oracle de prix car n'importe qui peut modifier l'oracle du prix de Kiloex. Il y a un processus de transmission de confiance, mais il n'y a aucune vérification une fois l'attaquant terminé, selon Shou.

“The exploit is a very simple process and could have been prevented,” Shou added.

"L'exploit est un processus très simple et aurait pu être empêché", a ajouté Shou.

KiloEX quickly isolated the attack and suspended its platform. It also reached out to other security firms to help track the funds.

Kiloex a rapidement isolé l'attaque et suspendu sa plate-forme. Il a également contacté d'autres sociétés de sécurité pour aider à suivre les fonds.

In a novel approach to dealing with the breach, KiloEX is crediting anyone who helps them recover the stolen tokens. To prevent this type of attack, KiloEX aims to create a final report outlining what went wrong.

Dans une nouvelle approche pour faire face à la brèche, Kiloex attribue à quiconque les aide à récupérer les jetons volés. Pour empêcher ce type d'attaque, Kiloex vise à créer un rapport final décrivant ce qui n'a pas fonctionné.

KiloEX users predominantly stored their tokens in the KiloEX vault, which just happened to be the main target of the intruders, causing maximum losses for users.

Les utilisateurs de Kiloex ont principalement stocké leurs jetons dans le coffre-fort Kiloex, qui se trouvait juste être la principale cible des intrus, causant des pertes maximales pour les utilisateurs.

After the hack, KiloEX shared the attacker’s address so that other platforms could prevent the hackers from withdrawing the stolen funds. Blacklisting addresses has become the latest strategy for platforms to prevent stolen money from entering the wider economy.

Après le piratage, Kiloex a partagé l'adresse de l'attaquant afin que d'autres plates-formes puissent empêcher les pirates de retirer les fonds volés. Les adresses de liste noire sont devenues la dernière stratégie pour les plateformes afin d'empêcher l'argent volé de pénétrer dans l'économie plus large.

KiloEX has been around since 2023 and has recently started expanding its operations. The DEX introduced more BNB-based meme tokens for users to exchange. Despite the recent attack, the DEX still has around $47.2 million in total value. In the past 24 hours, KiloEX had $31.8 million in trading volume, with $22 million invested in BTC-USDT trading.

Kiloex existe depuis 2023 et a récemment commencé à élargir ses opérations. Le DEX a introduit plus de jetons MEME basés sur BNB pour les utilisateurs à échanger. Malgré la récente attaque, le DEX a encore environ 47,2 millions de dollars de valeur totale. Au cours des dernières 24 heures, Kiloex a réalisé 31,8 millions de dollars en volume de négociation, avec 22 millions de dollars investis dans le trading BTC-USDT.

Price Oracles serve as a gateway between the DEX and the external world. In the case of KiloEX, they grab the price of tokens like Bitcoin or Ethereum and use the data to decide how much money a trader made.

Les oracles de prix servent de passerelle entre le dex et le monde extérieur. Dans le cas de Kiloex, ils saisissent le prix des jetons comme Bitcoin ou Ethereum et utilisent les données pour décider du montant d'argent gagné.

The Price Oracles, therefore, can be targeted by hackers because the price could theoretically be changed to benefit the attacker. This is how the KiloEX attack happened, with the attacker manipulating the Price Oracle so that the exchange disproportionately paid out a reward.

Le prix Oracles peut donc être ciblé par les pirates car le prix pourrait théoriquement être modifié au profit de l'attaquant. C'est ainsi que l'attaque de Kiloex s'est produite, l'attaquant manipulant l'oracle de prix afin que l'échange ait payé de manière disproportionnée une récompense.

According to the transaction history, the attacker most likely set the Ethereum price to $100 and then changed the price to $10,000, making a large profit and withdrawing all the extra money. The KiloEX users, meanwhile, lost all of their hard-earned tokens within a matter of minutes.

Selon l'historique des transactions, l'attaquant a très probablement fixé le prix Ethereum à 100 $, puis a changé le prix à 10 000 $, réalisant un profit important et retirant tout l'argent supplémentaire. Les utilisateurs de Kiloex, quant à eux, ont perdu tous leurs jetons durement gagnés en quelques minutes.

KiloEX started its operations as perpetual DEXs became popular, with the potential of self-custody and more control over your funds. KiloEX settles all trades on-chain, meaning you have your funds immediately. However, in the attacker’s case, the ability to lock transactions allowed stolen funds to become locked, immutable, forever stolen and legalised by on-chain activities.

Kiloex a commencé ses opérations, car les DEX perpétuels sont devenus populaires, avec le potentiel de l'auto-cuir et plus de contrôle sur vos fonds. Kiloex installe tous les métiers en chaîne, ce qui signifie que vous avez vos fonds immédiatement. Cependant, dans le cas de l'attaquant, la capacité de verrouiller les transactions a permis aux fonds volés de se verrouiller, immuables, de voler à jamais et de légaliser par des activités en chaîne.

Being a DEX, KiloEX did not offer any KYC services, allowing for anonymous transactions.

Étant un dex, Kiloex n'a offert aucun service KYC, permettant des transactions anonymes.