Youtube Telegram
Форум
USD
USD
EUR
RUB
UAH
KZT
Курс по заработку Youtube Telegram
Монеты: 22 013 Биржи: 1416
Рыночная капитализация: $3 064 039 712 920,78
Объём за 24 ч: $151 682 743 787,316
ETH Газ: 0,364 Gwei
Быстро
0,417 Gwei
Стандарт
0,364 Gwei
Медленно
0,364 Gwei
ГлавнаяНовостиБезопасность

Уязвимость в KiloEx на $7 млн: подробности инцидента от SlowMist

593
0
2 мин
15.04.2025
КилоЭкс

Аналитики из SlowMist установили, что причиной взлома проекта KiloEx стала критическая ошибка в контракте MinimalForwarder. Отсутствие базовой проверки доступа позволило злоумышленнику манипулировать ценами через цепочку вызовов смарт-контрактов. В частности, execute-функция дала возможность подменить адрес и подпись, пройти проверку и «вызвать нужные методы без ограничений». Это открыло путь к изменению ценового оракула и последующему извлечению прибыли. В результате хакеры похитили около $7 млн.

Исследователи из SlowMist подробно описали цепочку вызовов, приведших к атаке. Сначала злоумышленник получил возможность активировать функцию setPrices в контракте KiloPriceFeed, которая используется для обновления данных о ценах. Это стало достижимым благодаря некорректной архитектуре вызовов между контрактами Keeper, PositionKeeper и MinimalForwarder. Уязвимость в последнем позволила передавать любые параметры и обойти проверку данных. В результате злоумышленник сначала занизил цену и открыл длинную позицию, а затем резко поднял курс и завершил сделку с прибылью.

Представители KiloEx подтвердили факт эксплойта и сообщили, что работают над расследованием совместно с BNB Chain, Manta Network и ведущими компаниями по безопасности, включая Seal-911, SlowMist и Sherlock. Команда отметила: инцидент затронул несколько экосистем. Сейчас ведется активная работа по отслеживанию и возврату украденных криптовалют. Также стало известно, что средства злоумышленника начали перемещаться через протоколы zkBridge и Meson.

Случай с KiloEx снова подчеркнул важность базовых проверок доступа в смарт-контрактах. Ошибка в одном компоненте системы привела к полной компрометации логики торговли и серьезным убыткам. Эксперты призывают команды DeFi-проектов уделять больше внимания безопасности на уровне архитектуры, особенно при использовании контрактов для делегированных вызовов.

Петр Иванов
Автор
Петр Иванов
Понравилась новость? Поделись мнением!
Комментарии
Оставить комментарий
Комментариев пока нет
Интересное по инвестиции
9-летний кит HODL перевел 85 283 ETH на Gemini
По данным цепочки, неактивный адрес крупного держателя перевел 85 283 ETH на платформу Gemini за последний час для ликвидации. Девять лет назад с этого же адреса было снято 135 000 ETH с биржи Bitfinex, когда цена ETH составляла около $90, что тогда оценивалось в $12,17 million; с тех пор цена выросла в 32 раза. Сегодня, 15 часов назад, с того же адреса на Gemini также было переведено 50 000 ETH.
Coinbase запускает фьючерсы на медь и платину
27 января регулируемая платформа Coinbase Derivatives открыла торги фьючерсами на медь и платину. Запуск расширяет предложение деривативов Coinbase и дает участникам рынка новые инструменты для торговли сырьевыми металлами.
US-рынок открылся в небольшом плюсе, акции криптокомпаний в основном снизились
Фондовый рынок США открылся умеренным ростом: Dow +0,19%, S&P 500 +0,22%, Nasdaq +0,1%. Акции компаний, связанных с криптовалютами, в целом просели, в том числе Coinbase (COIN) −0,73%, Circle (CRCL) −1,35%, MicroStrategy (MSTR) −1,81%, Bullish (BLSH) −1,12%, Gemini (GEMI) −1,65%, Figure (FIGR) −1,66%, Bitmine (BMNR) −2,92%, SharpLink Gaming (SBET) −3,59%, Bit Digital (BTBT) −3,32%, ETHZilla (ETHZ) −1,91%, BTCS Inc (BTCS) −3,37%, ALT5 Sigma (ALTS) −7,76%, American Bitcoin (ABTC) −2,94%, Kindly MD (NAKA) −4,35%.
Zerohash ведет переговоры о привлечении 250 миллионов долларов при оценке 1,5 миллиарда долларов
CoinDesk со ссылкой на источники сообщает, что Zerohash, работающая в блокчейн‑инфраструктуре, ведет переговоры о привлечении 250 миллионов долларов при оценке 1,5 миллиарда долларов. Компания вышла из переговоров по сделке с Mastercard, но платежный гигант все еще рассматривает стратегическое инвестирование, и обсуждения продолжаются. Растущий спрос корпоративных клиентов на токенизацию активов, стейблкоины и расчеты в цепочке усиливает интерес к платформам вроде Zerohash.
BlackRock подала в SEC форму S-1 на ETF фьючерсов на биткоин
BlackRock подала в SEC форму S-1 для регистрации будущего ETF iShares Bitcoin Premium I come; документ, по словам аналитика Bloomberg Эрика Балчунаса, был подан 23 января. Тикер и решение регулятора пока не объявлены. Стратегия фонда предусматривает отслеживание цены биткоина при одновременном получении дополнительного дохода через активное управление, главным образом продажу покрытых колл-опционов на акции IBIT и периодическую торговлю индексными ETP. Следующие шаги включают возможные изменения по правилу 19b-4, заявку на листинг на Nasdaq и другие процедуры перед запуском торговли.