Kiloex, une bourse décentralisée (DEX) pour le commerce des contrats à terme perpétuels, a été frappé par une attaque sophistiquée

L'exploit s'est déroulé sur plusieurs réseaux de blockchain et semblait provenir d'une vulnérabilité dans le système Oracle Price de la plate-forme

Decentralized exchange (DEX) KiloEx, used for trading perpetual futures, was hit by a sophisticated attack on Tuesday that left users reeling from around $7 million in losses.

La bourse décentralisée (DEX) Kiloex, utilisée pour négocier les contrats à terme perpétuels, a été frappé par une attaque sophistiquée mardi qui a laissé les utilisateurs sous le choc d'environ 7 millions de dollars en pertes.

The exploit unfolded across multiple blockchain networks and appeared to stem from a vulnerability in the platform’s price oracle system, according to blockchain analysis firm Cyvers.

L'exploit s'est déroulé sur plusieurs réseaux de blockchain et semblait provenir d'une vulnérabilité du système Oracle Price de la plate-forme, selon la société d'analyse de la blockchain Cyvers.

An attacker, whose wallet was funded via Tornado Cash — a tool that obfuscates transaction trails — executed a series of transactions on the Base, BNB Chain, and Taiko networks to take advantage of a flaw in the platform’s price oracle system, which allowed the attacker to manipulate asset prices.

Un attaquant, dont le portefeuille a été financé via Tornado Cash - un outil qui obscurcit les sentiers de transaction - a exécuté une série de transactions sur les réseaux de base, la chaîne BNB et Taiko pour profiter d'un défaut dans le système Oracle Price de la plateforme, qui a permis à l'attaquant de manipuler les prix des actifs.

KiloEx has since confirmed the breach, suspended platform operations, and is now working with partners to trace the stolen funds and blacklist the attacker’s wallet.

Kiloex a depuis confirmé la violation, les opérations de plate-forme suspendue et travaille maintenant avec des partenaires pour retracer les fonds volés et liste noire le portefeuille de l'attaquant.

Oracles are blockchain-based tools that relay any type of outside data to a blockchain, where smart contracts use that data to make decisions for a financial application. That is, the oracle tells the platform whether ether (ETH) is worth $2,000 or $3,000, ensuring trades happen at fair market prices.

Les oracles sont des outils basés sur la blockchain qui relayent tout type de données extérieures à une blockchain, où les contrats intelligents utilisent ces données pour prendre des décisions pour une application financière. Autrement dit, l'Oracle indique à la plate-forme si Ether (ETH) vaut 2 000 $ ou 3 000 $, garantissant que les transactions se produisent à des prix du marché équitable.

But oracles can be a weak link. In KiloEx’s case, the attacker exploited a price oracle access control vulnerability — essentially, a flaw that let them tamper with data by using flash loans (or temporary liquidity) that tricked the system into believing false prices.

Mais les oracles peuvent être un lien faible. Dans le cas de Kiloex, l'attaquant a exploité une vulnérabilité de contrôle d'accès Oracle Price - essentiellement, un défaut qui les a permis de falsifier des données en utilisant des prêts flash (ou une liquidité temporaire) qui a incité le système à croire de faux prix.

The attacker manipulated the oracle to report an absurdly low price for ETH (say, $100) when opening a leveraged trading position. Leverage allows traders to borrow funds to amplify their bets, so a fake price can create massive distortions.

L'attaquant a manipulé l'Oracle pour signaler un prix absurdement bas pour ETH (disons, 100 $) lors de l'ouverture d'une position de négociation à effet de levier. Le levier permet aux commerçants d'emprunter des fonds pour amplifier leurs paris, donc un faux prix peut créer des distorsions massives.

This made it look like they’d made a huge profit, which they then withdrew from KiloEx’s vault. The attacker repeated this across Base, BNB Chain, and Taiko, exploiting KiloEx’s cross-chain setup to maximize gains before the platform could react.

Cela donnait l'impression qu'ils avaient réalisé un énorme profit, qu'ils ont ensuite retiré du coffre-fort de Kiloex. L'attaquant l'a répété à travers la base, la chaîne BNB et Taiko, exploitant la configuration croisée de Kiloex pour maximiser les gains avant que la plate-forme ne puisse réagir.

In one reported transaction, the attacker netted $3.12 million in a single move.

Dans une transaction signalée, l'attaquant a rapporté 3,12 millions de dollars en une seule décision.

This isn’t the first time a DeFi platform has been hit by oracle manipulation. Similar attacks have targeted platforms like Mango Markets in 2022, where $100 million was stolen, and Cream Finance in 2021, with losses of $130 million.

Ce n'est pas la première fois qu'une plate-forme Defi est frappée par la manipulation d'Oracle. Des attaques similaires ont ciblé des plates-formes comme les marchés de mangue en 2022, où 100 millions de dollars ont été volés et le financement de la crème en 2021, avec des pertes de 130 millions de dollars.