Уязвимость в KiloEx на $7 млн: подробности инцидента от SlowMist

624

2 мин

15.04.2025

DeFi
безопасность
Смарт-контракты
Расследование
взлом
Slowmist
Manta Network

Аналитики из SlowMist установили, что причиной взлома проекта KiloEx стала критическая ошибка в контракте MinimalForwarder. Отсутствие базовой проверки доступа позволило злоумышленнику манипулировать ценами через цепочку вызовов смарт-контрактов. В частности, execute-функция дала возможность подменить адрес и подпись, пройти проверку и «вызвать нужные методы без ограничений». Это открыло путь к изменению ценового оракула и последующему извлечению прибыли. В результате хакеры похитили около $7 млн.

Исследователи из SlowMist подробно описали цепочку вызовов, приведших к атаке. Сначала злоумышленник получил возможность активировать функцию setPrices в контракте KiloPriceFeed, которая используется для обновления данных о ценах. Это стало достижимым благодаря некорректной архитектуре вызовов между контрактами Keeper, PositionKeeper и MinimalForwarder. Уязвимость в последнем позволила передавать любые параметры и обойти проверку данных. В результате злоумышленник сначала занизил цену и открыл длинную позицию, а затем резко поднял курс и завершил сделку с прибылью.

Представители KiloEx подтвердили факт эксплойта и сообщили, что работают над расследованием совместно с BNB Chain, Manta Network и ведущими компаниями по безопасности, включая Seal-911, SlowMist и Sherlock. Команда отметила: инцидент затронул несколько экосистем. Сейчас ведется активная работа по отслеживанию и возврату украденных криптовалют. Также стало известно, что средства злоумышленника начали перемещаться через протоколы zkBridge и Meson.

Случай с KiloEx снова подчеркнул важность базовых проверок доступа в смарт-контрактах. Ошибка в одном компоненте системы привела к полной компрометации логики торговли и серьезным убыткам. Эксперты призывают команды DeFi-проектов уделять больше внимания безопасности на уровне архитектуры, особенно при использовании контрактов для делегированных вызовов.

Автор

Петр Иванов

Понравилась новость? Поделись мнением!

Комментарии

Оставить комментарий

Комментариев пока нет

Интересное по инвестиции

Bank of America: короткие позиции по доллару США достигли максимума с 2012 года

Исследование Bank of America показало, что в феврале настроения по доллару США стали самыми негативными за последние 14 лет, а объем коротких позиций достиг максимума с января 2012 года. Экспозиция управляющих по доллару США опустилась ниже минимума апреля прошлого года, и даже назначение Дональдом Трампом Кевина Уорша главой ФРС не усилило спрос на доллар и интерес к американским активам. Главным риском для доллара участники опроса считают возможное ухудшение ситуации на рынке труда США.

Metaplanet завершила 2025 год с убытком 95 млрд иен из-за переоценки BTC

Metaplanet сообщила о чистом убытке 95 млрд иен (около $6,19 млрд) за год, завершившийся 31 декабря, против прибыли 4,44 млрд иен (около $28,9 млн) годом ранее. Основной причиной стала переоценка принадлежащих компании BTC на 102,2 млрд иен (примерно $6,658 млрд), при этом в компании подчеркнули, что это не повлияло на денежный поток и операционную деятельность. Metaplanet заявила, что баланс остается устойчивым: при доле собственного капитала 90,7% обязательства и привилегированные акции полностью покрыты даже при сценарии падения цены BTC на 86%. Выручка за 2025 год выросла до 8,91 млрд иен (около $58 млн) на 738%, а операционная прибыль — до 6,29 млрд иен (примерно $41 млн) на 1695%, в том числе благодаря доходу от опционов на BTC.

Приток Ethereum на биржи вырос: за сутки CEX получили 241 300 ETH

По данным Coinglass, за последние 24 часа чистый приток ETH на централизованные биржи составил 241 300 ETH. Больше всего ETH поступило на Binance 242 200 ETH, Gemini 2594,94 ETH и Gate 1061,89 ETH, а крупнейший отток зафиксировала OKX 3326,46 ETH.

За сутки с CEX вывели 2382,67 BTC: лидируют Binance, Gemini и Kraken

По данным Coinglass, за последние 24 часа совокупный чистый отток BTC с централизованных бирж составил 2382,67 BTC. Больше всего вывели с Binance — 754,04 BTC, Gemini — 633,90 BTC и Kraken — 505,86 BTC. При этом Coinbase Pro показала приток 66,18 BTC и возглавила список по притокам.

Harvard снизил долю в iShares Bitcoin Trust на 21% и впервые вложился в iShares Ethereum Trust

Harvard Management Company в IV квартале 2025 года сократила вложения в iShares Bitcoin Trust примерно на 21% и впервые открыла позицию в iShares Ethereum Trust, следует из данных SEC. На 31 декабря Harvard держал 5,35 млн акций iShares Bitcoin Trust на $265,8 млн против 6,81 млн акций на $442,8 млн кварталом ранее, а также купил 3,87 млн акций iShares Ethereum Trust на $86,8 млн. Совокупная экспозиция по BTC и ETH оценивается в $352,6 млн, при этом BTC остается крупнейшим раскрытым активом фонда, а котировки сейчас держатся около $68 600 и $1900 соответственно.