کیلوکس ۷ میلیون دلار در حمله دستکاری اوراکل متحمل خسارت

کیلوکس ۷ میلیون دلار در حمله دستکاری اوراکل دچار خسارت شد

کیلوکس، صرافی غیرمتمرکز برای معاملات فیوچرز همیشگی، روز سه‌شنبه صبح مورد حمله‌ای هوشمندانه قرار گرفت که به نظر می‌رسد باعث خساراتی بالغ بر ۷ میلیون دلار به کاربران شده است. طبق گزارش شرکت تحلیل بلاکچین Cyvers، این حمله ناشی از ضعف در سیستم اوراکل قیمتی پلتفرم بوده است.

یک نفوذگر با استفاده از کیف پولی که از طریق Tornado Cash تأمین شده و مسیر تراکنش‌ها را پنهان می‌کند، مجموعه‌ای از تراکنش‌ها را در شبکه‌های Base، BNB Chain و Taiko به صورت هدفمند انجام داد تا از نقص موجود در سیستم اوراکل بهره ببرد و قیمت دارایی‌ها را دستکاری کند.

پس از تأیید این نفوذ، کیلوکس عملیات پلتفرم را متوقف نموده و با همکاری شرکا در حال پیگیری وجوه سرقت شده و قرار دادن کیف پول نفوذگر در لیست سیاه می‌باشد.

اوراکل‌ها ابزارهایی مبتنی بر بلاکچین هستند که هرگونه داده بیرونی را به بلاکچین منتقل می‌کنند؛ جایی که قراردادهای هوشمند بر اساس آن برای تصمیم‌گیری در برنامه‌های مالی استفاده می‌کنند. به عبارت دیگر، اوراکل به پلتفرم اطلاع می‌دهد که اتر (ETH) به قیمت ۲۰۰۰ دلار یا ۳۰۰۰ دلار ارزش دارد تا معاملات براساس قیمت منصفانه بازار انجام شود.

اما اوراکل‌ها ممکن است نقطه ضعفی محسوب شوند. در مورد کیلوکس، نفوذگر با بهره‌گیری از نقص در کنترل دسترسی به اوراکل قیمتی، با استفاده از وام‌های فوری (یا نقدینگی موقت) سیستم را فریب داد تا قیمت‌های نادرستی را به ثبت برساند.

نفوذگر اوراکل را به گونه‌ای دستکاری کرد که قیمت اتر به طور غیرواقعی پایین (مثلاً ۱۰۰ دلار) نمایش داده شود، به ویژه هنگام باز کردن موقعیت معاملاتی با اهرم. استفاده از اهرم به معامله‌گران اجازه می‌دهد تا با قرض گرفتن وجوه، سود خود را افزایش دهند؛ بنابراین، قیمت تقلبی می‌تواند انحرافات بزرگی ایجاد کند. در نتیجه، به نظر می‌رسید که نفوذگر سود عظیمی داشته و سپس این سود را از خزانه کیلوکس برداشت.

این نفوذگر این عملیات را در شبکه‌های Base، BNB Chain و Taiko تکرار کرد و به واسطه ساختار چند زنجیره‌ای کیلوکس، پیش از واکنش پلتفرم، حداکثر سود ممکن را کسب نمود. در یکی از تراکنش‌های گزارش شده، نفوذگر در یک حرکت به حدود ۳.۱۲ میلیون دلار دست یافت.

این اولین بار نیست که یک پلتفرم DeFi از حمله دستکاری اوراکل متأثر شده است. حملات مشابه قبلاً به پلتفرم‌هایی مانند Mango Markets در سال ۲۰۲۲، که ۱۰۰ میلیون دلار سرقت شد، و Cream Finance در سال ۲۰۲۱ با خساراتی بالغ بر ۱۳۰ میلیون دلار رخ داده است.