原文| Odaily星球日報( @OdailyChina )
作者| Asher( @Asher_ 0210 )
今晨,由YZi Labs 投資的鏈上合約平台KiloEx 地址被盜,損失超700 萬美元,涉及BNB Chain、Base 等多條鏈上資產。根據鏈上數據,受此被盜事件影響,其項目代幣KILO 24 小時跌幅22.8% ,現報0.038 美元。目前,根據官方數據,KiloEx 平台目前未平倉合約價值已下降至600 萬美元,此外,根據DefiLlama 數據,KiloEx TVL 目前仍有3,400 萬美元。
接下來,Odaily星球日報為大家梳理對於此處KiloEx 地址被盜事件的原因、團隊回應以及社區看法。
KiloEx 專案簡介
KiloEx 是一個去中心化交易所,專注於永續合約交易,旨在為用戶提供友善的交易體驗。 KiloEx 支援多個區塊鏈,包括BNB Chain、opBNB、Manta、Taiko 和Base。 KiloEx 利用費率基礎差將永續合約價格與現貨價格錨定,確保交易的穩定性與可靠性。用戶在KiloEx 平台交易的優點在於:
無需原生 Gas 代幣:支援 USDT/USDC 支付 Gas 費,無需額外跨鏈兌換;
免簽交易,操作便利:無需繁瑣簽名,交易流程更加流暢;
有效率執行,接近 CEX 體驗:優化交易速度,提升使用者互動效率。
2023 年 8 月,YZi Labs 宣布向四個 MVB VI 優秀項目投資,其中包括永續合約 DEX KiloEx(另外三個分別為:以太坊擴容項目 AltLayer、DeFi 借貸協議 Kinza 和 AI 遊戲 Sleepless AI),並且,KiloEx 也是 BNB Chain 空投聯盟計劃的項目成員。
今年3 月27 日,幣安皮夾與PancakeSwap 合作推出KiloEx(KILO)獨家TGE,超募近 300 倍,此外,TGE 當日Binance Alpha 宣布上線KiloEx (KILO)。
KiloEx 被盜的根本原因在於價格預言機的存取控制漏洞
根據鏈上資料監測顯示,去中心化永續合約協議KiloEx 遭遇駭客攻擊,造成總計約740 萬美元的資產損失,分別分佈在Base 鏈(約330 萬美元)、opBNB 鏈(約310 萬美元)和BNB Smart Chain(約100 萬美元)上。
這次攻擊的根本原因在於協議中價格預言機的存取控制存在嚴重漏洞。通俗來講,預言機本應由受信任的角色更新價格訊息,但由於缺乏必要的權限限制,攻擊者得以繞過驗證機制,任意篡改資產價格,從而操控合約邏輯。
根據區塊鏈安全機構PeckShield 的初步分析,其中一筆利用該漏洞的交易流程被詳細揭露。攻擊者首先以ETHUSD 的異常低價(如100 美元)創建一個新倉位,隨後通過將ETH/USD 價格人為地篡改為虛高的10000 美元,在幾乎沒有實際行情波動的情況下立即平倉,從而實現巨額套利,僅此一筆交易便獲得了高達312 萬美元的收益。
目前,駭客地址( 0x00fac92881556a90fdb19eae9f23640b95b4bcbd )持續透過zkBridge 進行資金轉移,地址資金仍有540 萬美元未轉移。
KiloEx 官方對被竊事件回應:KiloEx Vault 遭攻擊
針對本次重大安全事件,KiloEx 團隊已在第一時間做出官方回應。根據公告內容,本次攻擊目標為KiloEx 的核心資產模組- KiloEx Vault,駭客透過技術手段入侵該模組並成功竊取了平台上的大額資金。
官方強調,事件發生後,團隊已迅速採取應急措施,敦促所有整合和合作的協議方、交易平台以及第三方服務商,立即將涉案駭客地址列入黑名單,以最大限度防止被盜資產進一步流動或被清洗。為鼓勵社區力量協助調查與追蹤資金,KiloEx 宣布將推出漏洞賞金計劃,獎勵能提供有效安全漏洞資訊或協助追回資產的個人和組織。
此外,KiloEx 官方表示,目前攻擊已受到控制,平台功能已暫停使用,KiloEx 正與多家專業安全機構緊密協作,追蹤資金流向並分析攻擊者的技術路徑。目前團隊正在分析本次攻擊的具體手法及受影響的資產,完整的事件報告預計將在未來幾天內向社區公佈。
未給予具體賠償計畫引發社區不滿情緒
儘管KiloEx 團隊在事件發生後迅速做出回應,採取了包括暫停平台、追蹤資金、聯合安全機構介入等一系列措施,但社群最為關心的「如何賠付用戶損失」這一關鍵問題卻並未在公告中提及,令用戶失望。尤其是面對高達740 萬美元的被盜金額,用戶急切希望了解平台是否會承擔責任、賠償機制是否存在,但相關內容始終缺席。
這項回應中的缺席很快就在社區引發大量質疑。 KiloEx 的社群媒體評論區充斥著「監守自盜」、「已跑路」、「自導自演」等激烈言論,有用戶甚至表示「目前的流通市值才800 萬美元,被盜了740 萬美元,你們該如何賠付」。
目前,KiloEx 團隊尚未就賠償問題做出公開表態,或引發更大範圍的用戶權益和資產撤離風波,Odaily星球日報也將追蹤通報。
