KiloEx گزارشی از یک سوءاستفاده ۷ میلیون دلاری از قرارداد هوشمند را منتشر کرد.

بورس دائمی غیرمتمرکز KiloEx گزارشی درباره هک ۷ میلیون دلاری خود که ناشی از یک آسیب‌پذیری بحرانی در قرارداد هوشمند بوده، منتشر کرد.

بر اساس این گزارش، مشکل از قرارداد TrustedForwarder ناشی می‌شد که از MinimalForwarderUpgradeable جدید OpenZeppelin به ارث برده بود، اما موفق به بازنویسی متد "execute" نشده و این موضوع باعث شده بود که بدون مجوز باشد.

این سهل‌انگاری به مهاجم این امکان را داد که موقعیت‌های معاملاتی را در چندین زنجیره دستکاری کند. در تاریخ ۱۳ آپریل، مهاجم با برداشت ۱ ETH (ETH) از Tornado Cash، کیف‌پول‌هایی را برای تأمین مالی در زنجیره‌ها راه‌اندازی کرد.

مهاجم توانست در کمتر از یک ساعت با سوءاستفاده از متد open، موقعیت‌ها را در قیمت‌های مناسب باز و بسته کند.

این هک نخستین بار توسط Cyvers Alerts شناسایی شد که فعالیت‌های مشکوک بین زنجیره‌ای را در Base، Taiko و BNB Chain علامت‌گذاری کرد. طبق گزارش PeckShield، زیان‌ها بین Base، opBNB و BSC توزیع شده‌اند.

مذاکرات هکر

بر اساس گزارش و پس از مذاکرات مداوم، هکر با حفظ ۱۰ درصد پاداش، به طور سیستماتیک همه دارایی‌های دزدیده‌شده را به کیف‌پول‌های چندامضایی Safe تعیین‌شده KiloEx بازگرداند.

KiloEx اعلام کرد که آسیب‌پذیری برطرف شده و تأکید کرد که هیچ موقعیت بازی در معرض نقدینگی نخواهد بود. در عوض، همه موقعیت‌ها بر اساس تصاویر قیمتی که قبل از حمله ثبت شده بودند، بسته خواهند شد. سود و زیان‌های دوره هک در موجودی نهایی کاربران محاسبه نخواهد شد.

این پلتفرم همچنین گفت که با پلیس و SlowMist برای تحقیق در مورد هک همکاری کرده است.