کشف بهره‌برداری ۷ میلیونی قرارداد هوشمند KiloEx؛ دارایی‌ها برگردانده شدند

کشف بهره‌برداری ۷ میلیونی قرارداد هوشمند KiloEx در گزارش پس از حمله

صرافی دائمی غیرمتمرکز KiloEx گزارش پس از حمله را منتشر کرد که در آن به بهره‌برداری ۷ میلیون دلاری ناشی از یک آسیب‌پذیری بحرانی در قرارداد هوشمند اشاره شده است.

بر اساس گزارش، مشکل از قرارداد TrustedForwarder ناشی می‌شود. این قرارداد از MinimalForwarderUpgradeable اوپن‌زیپلین به ارث برده بود، اما متد «execute» را بازنویسی نکرد و در نتیجه بدون محدودیت باقی ماند. این سهو به حمله‌کننده اجازه داد تا موقعیت‌های معاملاتی در چندین زنجیره را دستکاری کند.

در تاریخ ۱۳ آوریل، حمله‌کننده با برداشت ۱ ETH (اتریوم) از Tornado Cash برای تأمین وجوه کیف پول‌های موجود در زنجیره‌های مختلف، بهره‌برداری را آغاز کرد. او در کمتر از یک ساعت با سوءاستفاده از متد آزاد، جهت باز و بسته کردن موقعیت‌ها به قیمت‌های مطلوب، به بهره‌برداری پرداخت.

اولین بار بهره‌برداری توسط Cyvers Alerts شناسایی شد که فعالیت‌های مشکوک بین‌زنجیره‌ای در Base، Taiko و BNB Chain را گزارش کرد.

طبق اعلام PeckShield، خسارات در شبکه‌های Base، opBNB و BSC پخش شده است.

بر اساس گزارش و پس از مذاکرات مستمر، هکر با توافق بر روی نگه‌داری ۱۰٪ از پاداش، تمامی دارایی‌های سرقت‌شده را به کیف پول‌های امن چند امضایی تعیین‌شده توسط KiloEx بازگرداند.

KiloEx اعلام کرد که آسیب‌پذیری برطرف شده و تأکید نمود که هیچ موقعیت باز معامله‌ای منجر به لیکوئیدیشن نخواهد شد. در عوض، تمامی موقعیت‌ها بر اساس عکس‌های قیمتی گرفته شده قبل از حمله بسته خواهند شد.

سود و زیان دوره بهره‌برداری در تراز نهایی کاربران محاسبه نخواهد شد.

این پلتفرم همچنین اعلام کرد که با همکاری پلیس و SlowMist، به بررسی و واکنش نسبت به حمله پرداخته است.