원본 | 오데일리 플래닛 데일리( @OdailyChina )
저자 | 애셔( @Asher_0210 )
오늘 아침, YZi Labs가 투자한 온체인 계약 플랫폼인 KiloEx의 주소가 도난당해 BNB Chain과 Base 등 여러 온체인 자산이 연루되었으며, 피해액은 700만 달러를 넘었습니다. 온체인 데이터에 따르면, 도난의 영향을 받은 프로젝트 토큰인 KILO는 24시간 동안 22.8% 하락했으며 현재 0.038달러에 거래되고 있습니다. 현재 공식 데이터에 따르면 KiloEx 플랫폼의 미결제약정 가치는 600만 달러로 떨어졌습니다. 또한, DefiLlama 데이터에 따르면 KiloEx TVL은 여전히 3,400만 달러입니다.
다음으로, Odaily Planet Daily에서는 KiloEx 주소 도용 사건의 원인, 팀 대응, 커뮤니티 의견을 정리할 예정입니다.
KiloEx 프로젝트 소개
KiloEx는 무기한 계약 거래에 중점을 둔 분산형 거래소로, 사용자에게 친숙한 거래 경험을 제공하는 것을 목표로 합니다. KiloEx는 BNB Chain, opBNB, Manta, Taiko, Base 등 다양한 블록체인을 지원합니다. KiloEx는 가격 기준을 사용하여 영구 계약 가격을 현물 가격에 고정함으로써 거래의 안정성과 신뢰성을 보장합니다. KiloEx 플랫폼에서 거래하는 장점은 다음과 같습니다.
기본 가스 토큰이 필요하지 않습니다. 추가적인 크로스체인 교환이 필요 없이 가스 수수료 지불을 위해 USDT/USDC를 지원합니다.
서명이 필요 없는 거래, 편리한 조작: 번거로운 서명이 필요 없어 거래 과정이 더욱 원활해집니다.
효율적인 실행, CEX 경험에 가깝게: 거래 속도를 최적화하고 사용자 상호작용 효율성을 개선합니다.
2023년 8월, YZi Labs는 영구 계약 DEX인 KiloEx(나머지 3개는 Ethereum 확장 프로젝트인 AltLayer, DeFi 대출 프로토콜인 Kinza, AI 게임 Sleepless AI)를 포함하여 4개의 뛰어난 MVB VI 프로젝트에 대한 투자를 발표했습니다. 또한 KiloEx는 BNB Chain 에어드롭 연합 프로그램의 프로젝트 멤버이기도 합니다.
올해 3월 27일, 바이낸스 지갑과 팬케이크스왑은 협력하여 킬로엑스(KILO)의 독점적인 TGE를 출시했는데, 이는 약 300배나 초과 가입되었습니다. 또한, TGE 당일, 바이낸스 알파는 KiloEx(KILO) 출시를 발표했습니다.
KiloEx 도난의 근본 원인은 가격 오라클의 액세스 제어 취약성이었습니다.
온체인 데이터 모니터링에 따르면, 분산형 영구 계약 프로토콜인 KiloEx가 해커의 공격을 받아 총 자산 손실이 약 740만 달러에 달했으며, 이는 Base 체인(약 330만 달러), opBNB 체인(약 310만 달러), BNB 스마트 체인(약 100만 달러)에 분산되어 있었습니다.
이 공격의 근본 원인 은 프로토콜 내 가격 오라클의 접근 제어에 심각한 취약점이 있기 때문입니다 . 평범한 사람의 관점에서 보면, 오라클은 가격 정보를 업데이트하기 위해 신뢰할 수 있는 역할에 의해 업데이트되어야 하지만, 필요한 권한 제한이 부족하기 때문에 공격자는 검증 메커니즘을 우회하고 자산 가격을 임의로 조작하여 계약 논리를 조작할 수 있습니다.
블록체인 보안 기관인 PeckShield의 사전 분석에 따르면, 취약점을 악용한 거래 중 하나의 거래 과정이 자세히 공개되었습니다. 공격자는 먼저 ETHUSD의 비정상적으로 낮은 가격(예: 100달러)에 새로운 포지션을 만든 다음, ETH/USD 가격을 인위적으로 조작하여 가상의 10,000달러가 되게 한 다음, 실제 시장 변동이 거의 없는 상태에서 즉시 포지션을 마감하여 막대한 차익거래 수익을 얻었습니다. 공격자는 이 거래만으로 최대 312만 달러를 벌어들였습니다.
현재 해커 주소( 0x00fac92881556a90fdb19eae9f23640b95b4bcbd )는 zkBridge를 통해 계속해서 자금을 이체하고 있으며, 해당 주소에는 아직 이체되지 않은 자금이 540만 달러 남아 있습니다.
KiloEx 공식 대응: KiloEx Vault가 공격을 받았습니다.
이 중대한 보안 사고에 대응하여 KiloEx팀은 가능한 한 빨리 공식적인 대응을 발표했습니다. 발표에 따르면, 이 공격의 대상은 KiloEx의 핵심 자산 모듈인 KiloEx Vault였습니다. 해커는 기술적 수단을 사용하여 모듈을 침입하고 플랫폼에서 많은 양의 자금을 훔치는 데 성공했습니다.
이 관계자는 사건 발생 후 팀이 신속하게 비상 조치를 취했으며, 모든 통합 및 협력 당사자, 거래 플랫폼 및 제3자 서비스 제공업체에 사건에 연루된 해커 주소를 즉시 블랙리스트에 올려 도난 자산의 추가 유출이나 자금 세탁을 최소화할 것을 촉구했다고 강조했습니다. KiloEx는 조사 및 자금 추적을 돕기 위한 지역 사회의 노력을 장려하기 위해 보안 취약성 정보를 효과적으로 제공하거나 자산 회수를 도울 수 있는 개인 및 조직에 보상하는 취약성 현상금 프로그램을 시작할 것이라고 발표했습니다.
또한 KiloEx 관계자는 공격이 통제되었으며 플랫폼 기능이 중단되었다고 밝혔습니다. KiloEx는 여러 전문 보안 기관과 긴밀히 협력하여 자금 흐름을 추적하고 공격자의 기술 경로를 분석하고 있습니다. 해당 팀은 현재 이 공격의 구체적인 방법과 영향을 받은 자산을 분석하고 있습니다. 전체 사고 보고서는 며칠 안에 지역 사회에 공개될 예정입니다.
구체적인 보상 계획을 제공하지 못한 것은 지역 사회에 불만을 야기했습니다.
KiloEx팀은 사고 발생 후 신속하게 대응하여 플랫폼 정지, 자금 추적, 보안 기관 개입 등 일련의 조치를 취했지만, 커뮤니티가 가장 우려하는 핵심 문제인 사용자의 손실을 보상하는 방법은 공지에 언급되지 않아 사용자들은 실망감을 표했다. 특히 최대 740만 달러에 달하는 금액이 도난당한 경우, 사용자들은 플랫폼이 책임을 질지, 보상 메커니즘이 있는지 알고 싶어하지만, 관련 내용은 항상 부족합니다.
이러한 대응 부족으로 인해 지역 사회에서 많은 의문이 제기되었습니다 . 킬로엑스의 소셜미디어 댓글란에는 횡령, 이미 도주, 자의적 행동 등 격렬한 비난이 쏟아지고 있다. 일부 사용자는 현재 시장 가치가 800만 달러에 불과한데, 740만 달러가 도난당했습니다. 어떻게 보상할 건가요?라고 말하기도 했습니다.
현재 KiloEx팀은 보상 문제에 대해 공개적인 입장을 밝히지 않고 있으며, 이는 광범위한 사용자 권리 보호 및 자산 인출 사태를 촉발할 수 있습니다. Odaily Planet Daily도 해당 보도에 대한 후속 보도를 할 예정이다.
