ต้นฉบับ | โอเดลี่แพลนเน็ตเดลี่ ( @OdailyChina )

ผู้เขียน | อาเชอร์ ( @Asher_0210 )

เมื่อเช้านี้ ที่อยู่ของ KiloEx ซึ่งเป็นแพลตฟอร์มสัญญาแบบออนเชนที่ลงทุนโดย YZi Labs ถูกขโมย ส่งผลให้สูญเสียมากกว่า 7 ล้านเหรียญสหรัฐ โดยเกี่ยวข้องกับสินทรัพย์ออนเชนหลายรายการ เช่น BNB Chain และ Base ตามข้อมูลบนเครือข่ายที่ได้รับผลกระทบจากการโจรกรรม โทเค็นโครงการ KILO ลดลง 22.8% ในเวลา 24 ชั่วโมง และปัจจุบันซื้อขายอยู่ที่ 0.038 ดอลลาร์ ในปัจจุบัน ตามข้อมูลอย่างเป็นทางการ มูลค่าความสนใจเปิดของแพลตฟอร์ม KiloEx ลดลงเหลือ 6 ล้านเหรียญสหรัฐ นอกจากนี้ ตามข้อมูลของ DefiLlama ค่า KiloEx TVL ยังคงอยู่ที่ 34 ล้านเหรียญสหรัฐ

ตารางราคากิโล

ต่อไปนี้ Odaily Planet Daily จะคัดแยกสาเหตุ การตอบสนองของทีม และความคิดเห็นของชุมชนสำหรับการขโมยที่อยู่ KiloEx

บทนำโครงการ KiloEx

KiloEx คือการแลกเปลี่ยนแบบกระจายอำนาจที่มุ่งเน้นไปที่การซื้อขายสัญญาถาวรและมุ่งหวังที่จะมอบประสบการณ์การซื้อขายที่เป็นมิตรให้กับผู้ใช้ KiloEx รองรับบล็อคเชนหลายแบบ รวมถึง BNB Chain, opBNB, Manta, Taiko และ Base KiloEx ใช้อัตราพื้นฐานเพื่อยึดราคาสัญญาถาวรกับราคาจุดเพื่อให้แน่ใจถึงเสถียรภาพและความน่าเชื่อถือของธุรกรรม ข้อดีของการซื้อขายบนแพลตฟอร์ม KiloEx มีดังนี้:

• ไม่จำเป็นต้องมีโทเค็นแก๊สดั้งเดิม: รองรับ USDT/USDC เพื่อชำระค่าธรรมเนียมแก๊ส โดยไม่จำเป็นต้องมีการแลกเปลี่ยนแบบข้ามเครือข่ายเพิ่มเติม

• ธุรกรรมที่ไม่มีลายเซ็น การดำเนินการที่สะดวก: ไม่จำเป็นต้องมีลายเซ็นที่ยุ่งยาก กระบวนการธุรกรรมราบรื่นขึ้น

• การดำเนินการที่มีประสิทธิภาพ ใกล้เคียงกับประสบการณ์ CEX: เพิ่มประสิทธิภาพความเร็วธุรกรรมและปรับปรุงประสิทธิภาพการโต้ตอบของผู้ใช้

ในเดือนสิงหาคม 2023 YZi Labs ได้ประกาศการลงทุนในโครงการ MVB VI ที่โดดเด่นสี่โครงการ รวมถึงสัญญาถาวร DEX KiloEx (อีกสามโครงการคือ โครงการขยาย Ethereum AltLayer, โปรโตคอลการให้กู้ยืม DeFi Kinza และเกม AI Sleepless AI) และ KiloEx ยังเป็นสมาชิกโครงการของโปรแกรมพันธมิตร airdrop ของ BNB Chain อีกด้วย

เมื่อวันที่ 27 มีนาคม ปีนี้ Binance Wallet และ PancakeSwap ร่วมมือกันเปิดตัว TGE สุดพิเศษของ KiloEx (KILO) ซึ่งมียอดจองเกินเกือบ 300 เท่า นอกจากนี้ ในวัน TGE นั้น Binance Alpha ได้ประกาศเปิดตัว KiloEx (KILO)

สาเหตุหลักของการโจรกรรม KiloEx คือช่องโหว่การควบคุมการเข้าถึงของ Oracle ราคา

จากการตรวจสอบข้อมูลแบบออนเชน พบว่าโปรโตคอลสัญญาถาวรแบบกระจายอำนาจ KiloEx ถูกโจมตีโดยแฮกเกอร์ ส่งผลให้สูญเสียทรัพย์สินรวมประมาณ 7.4 ล้านดอลลาร์สหรัฐ ซึ่งกระจายอยู่ในเชน Base (ประมาณ 3.3 ล้านดอลลาร์สหรัฐ) เชน opBNB (ประมาณ 3.1 ล้านดอลลาร์สหรัฐ) และ BNB Smart Chain (ประมาณ 1 ล้านดอลลาร์สหรัฐ)

สาเหตุหลักของการโจมตีนี้ คือช่องโหว่ที่ร้ายแรงในการควบคุมการเข้าถึงของราคาโอราเคิลในโปรโตคอล หากพูดแบบคนทั่วไป ควรให้ Oracle ทำการอัพเดตโดยบทบาทที่เชื่อถือได้เพื่ออัพเดตข้อมูลราคา แต่เนื่องจากขาดข้อจำกัดของอำนาจที่จำเป็น ผู้โจมตีจึงสามารถหลีกเลี่ยงกลไกการตรวจสอบและแทรกแซงราคาสินทรัพย์โดยพลการได้ จึงทำให้ตรรกะของสัญญาถูกควบคุม

การวิเคราะห์ที่อยู่ KiloEx ที่ถูกขโมย

ตามการวิเคราะห์เบื้องต้นโดยบริษัทรักษาความปลอดภัยบล็อคเชน PeckShield ได้มีการเปิดเผยกระบวนการทำธุรกรรมหนึ่งที่มีการใช้ประโยชน์จากช่องโหว่ดังกล่าวอย่างละเอียด ก่อนอื่นผู้โจมตีจะสร้างตำแหน่งใหม่ขึ้นมาด้วยราคา ETHUSD ที่ต่ำผิดปกติ (เช่น 100 ดอลลาร์) จากนั้นก็แทรกแซงราคา ETH/USD อย่างไม่เป็นธรรมชาติจนเหลือเพียง 10,000 ดอลลาร์ และปิดตำแหน่งนั้นทันทีโดยแทบไม่มีความผันผวนของตลาดที่แท้จริงเลย ส่งผลให้ได้รับกำไรจากการเก็งกำไรจำนวนมหาศาล ผู้โจมตีได้รับเงินมากถึง 3.12 ล้านดอลลาร์จากธุรกรรมนี้เพียงอย่างเดียว

ปัจจุบันที่อยู่แฮ็กเกอร์ ( 0x00fac92881556a90fdb19eae9f23640b95b4bcbd ) ยังคงโอนเงินผ่าน zkBridge และยังมีเงินอีก 5.4 ล้านดอลลาร์ในที่อยู่ดังกล่าวที่ยังไม่ได้โอน

ที่อยู่แฮกเกอร์

การตอบสนองอย่างเป็นทางการของ KiloEx ต่อการโจรกรรม: KiloEx Vault ถูกโจมตี

เพื่อตอบสนองต่อเหตุการณ์ด้านความปลอดภัยครั้งใหญ่ครั้งนี้ ทีมงาน KiloEx ได้ดำเนินการตอบสนองอย่างเป็นทางการโดยเร็วที่สุด ตามการประกาศ เป้าหมายของการโจมตีครั้งนี้คือโมดูลทรัพย์สินหลักของ KiloEx - KiloEx Vault แฮกเกอร์ใช้เทคนิคในการบุกรุกโมดูลและขโมยเงินจำนวนมากบนแพลตฟอร์มสำเร็จ

เจ้าหน้าที่คนดังกล่าวย้ำว่าหลังจากเกิดเหตุการณ์แล้ว ทีมงานได้ดำเนินการฉุกเฉินอย่างรวดเร็ว โดยเร่งรัดให้ฝ่ายที่บูรณาการและให้ความร่วมมือ แพลตฟอร์มการซื้อขาย และผู้ให้บริการบุคคลที่สามทำการขึ้นบัญชีดำที่อยู่ของแฮ็กเกอร์ที่เกี่ยวข้องในคดีนี้ทันที เพื่อลดการไหลเข้าหรือการฟอกเงินเพิ่มเติมของทรัพย์สินที่ถูกขโมยไป เพื่อสนับสนุนความพยายามของชุมชนในการให้ความช่วยเหลือในการสืบสวนและติดตามเงินทุน KiloEx ได้ประกาศว่าจะเปิดตัวโครงการรางวัลสำหรับผู้มีความเสี่ยง เพื่อให้รางวัลแก่บุคคลและองค์กรที่สามารถให้ข้อมูลความเสี่ยงด้านความปลอดภัยที่มีประสิทธิภาพหรือช่วยในการกู้คืนสินทรัพย์ได้

นอกจากนี้ เจ้าหน้าที่ KiloEx ยังระบุอีกว่า ตอนนี้สามารถควบคุมการโจมตีได้แล้ว และระงับการใช้งานแพลตฟอร์มแล้ว KiloEx กำลังทำงานอย่างใกล้ชิดกับหน่วยงานรักษาความปลอดภัยระดับมืออาชีพหลายแห่งเพื่อติดตามกระแสเงินทุนและวิเคราะห์เส้นทางทางเทคนิคของผู้โจมตี ขณะนี้ทีมงานกำลังวิเคราะห์วิธีการเฉพาะของการโจมตีนี้และทรัพย์สินที่ได้รับผลกระทบ คาดว่าจะเผยแพร่รายงานเหตุการณ์ฉบับสมบูรณ์ให้ชุมชนทราบภายในไม่กี่วันข้างหน้านี้

การขาดแผนการชดเชยที่ชัดเจนทำให้เกิดความไม่พอใจในชุมชน

แม้ว่าทีมงาน KiloEx จะตอบสนองอย่างรวดเร็วหลังเกิดเหตุการณ์และดำเนินการต่างๆ มากมาย รวมถึงการระงับแพลตฟอร์ม ติดตามเงินทุน และเข้าไปแทรกแซงกับหน่วยงานรักษาความปลอดภัย แต่ประเด็นสำคัญที่ชุมชนกังวลมากที่สุดซึ่งก็คือ "จะชดเชยให้ผู้ใช้สำหรับการสูญเสียได้อย่างไร" กลับไม่ได้รับการกล่าวถึงในประกาศ ซึ่งทำให้ผู้ใช้ผิดหวัง โดยเฉพาะอย่างยิ่งเมื่อต้องเผชิญกับการขโมยเงินจำนวนสูงสุดถึง 7.4 ล้านเหรียญสหรัฐ ผู้ใช้ต่างอยากรู้ว่าแพลตฟอร์มจะรับผิดชอบหรือไม่ และมีกลไกการชดเชยหรือไม่ แต่กลับไม่มีเนื้อหาที่เกี่ยวข้องเลย

การขาดการตอบสนองนี้ทำให้เกิดคำถามมากมายในชุมชนอย่างรวดเร็ว ส่วนความเห็นบนโซเชียลมีเดียของ KiloEx เต็มไปด้วยความเห็นที่รุนแรง เช่น "ยักยอกทรัพย์" "หลบหนีไปแล้ว" และ "เอาแต่ใจตัวเองและกระทำการเอง" ผู้ใช้บางรายถึงกับกล่าวว่า "มูลค่าตลาดปัจจุบันอยู่ที่เพียง 8 ล้านเหรียญสหรัฐเท่านั้น และมีการขโมยเงินไป 7.4 ล้านเหรียญสหรัฐ คุณจะชดเชยอย่างไร"

ในปัจจุบัน ทีมงาน KiloEx ยังไม่ได้แถลงต่อสาธารณะเกี่ยวกับปัญหาการชดเชย ซึ่งอาจก่อให้เกิดปัญหาการปกป้องสิทธิผู้ใช้และการถอนสินทรัพย์ในวงกว้างมากขึ้น สำนักข่าว Odaily Planet Daily จะติดตามรายงานดังกล่าวด้วย