Bởi ChandlerZ, Foresight News
Vào ngày 15 tháng 4, sàn giao dịch hợp đồng vĩnh viễn DEX KiloEx thông báo rằng kho tiền của họ đã bị tấn công và tình hình đã được kiểm soát. Các chức năng của nền tảng KiloEx đã bị đình chỉ đội ngũ đang làm việc với các đối tác bảo mật để theo dõi dòng tiền và lên kế hoạch triển khai chương trình tiền thưởng. KiloEx hiện đang phân tích đường tấn công và tài sản bị ảnh hưởng, đồng thời làm việc với các đối tác hệ sinh thái để cố gắng thu hồi tiền. Báo cáo đầy đủ sẽ sớm được công bố.
Dữ liệu trên Chuỗi cho thấy địa chỉ KiloEx bị mất khoảng 7,4 triệu đô la, trong đó 3,3 triệu đô la trong mạng lưới Base, 3,1 triệu đô la trong mạng lưới opBNB và 1 triệu đô la trong chuỗi BNB.
Thị trường cho thấy KILO đã giảm hơn 33% trong 24 giờ, với mức giá thấp nhất đạt 0,033 USDT và hiện ở mức 0,0346 USDT.
Theo giám sát của Cyvers Alerts, nguyên nhân gốc rễ của cuộc tấn công hacker lần có thể là lỗ hổng kiểm soát truy cập trong oracle giá.
Nói một cách đơn giản, oracle phải cập nhật thông tin giá theo nhân vật đáng tin cậy, nhưng do thiếu các hạn chế về thẩm quyền cần thiết nên kẻ tấn công có thể bỏ qua cơ chế xác minh và tùy ý can thiệp vào giá tài sản, qua đó thao túng logic hợp đồng.
Phân tích sơ bộ của Paidun về một trong đó những giao dịch tấn công cho thấy đó là vấn đề oracle giá. Kẻ tấn công đã khai thác lỗ hổng này và đặt giá ETHUSD ban đầu là 100 khi mở vị thế, sau đó ngay lập tức đóng vị thế ở mức giá ETHUSD tăng vọt là 10.000, thu được lợi nhuận khoảng 3,12 triệu đô la chỉ từ giao dịch này.
KiloEx là gì?
KiloEx là một DEX phi phi tập trung vĩnh viễn tập trung vào quản lý rủi ro, tối ưu hóa hiệu quả vốn và tích hợp hệ sinh thái của token LST. KiloEx đã tham gia vào sự kiện liên minh airdrop gần đây do BNB Chain phát động và sự kiện Renew Paradigm trên Manta Pacific, thu được lợi nhuận stablecoin bằng cách staking STONE. Ngoài ra, KiloEx còn có kế hoạch ra mắt chức năng giao dịch ký quỹ hỗn hợp và két giao dịch hỗn tiền ký quỹ.
Bản thân KiloEX là một Perp DEX dựa trên giá oracle tương tự như GMX. Sự đổi mới cốt lõi của nó nằm ở:
TRUNG TÍNH stablecoin nhà cung cấp thanh khoản phòng ngừa rủi ro tích hợp
Sao chép lệnh giao dịch
Kinh tế token dựa trên các cơ chế tiên tiến hiện nay
Về mặt tài trợ, KiloEx đã nhận được khoản đầu tư từ Binance Labs và được nuôi dưỡng trong MVB Mùa 6. Ngoài ra, công ty cũng nhận được khoản đầu tư từ Foresight Ventures, Crescendo Ventures, Manta Network, 7UP DAO, Poolz Finance, GTS Ventures và một số nhà đầu tư thiên thần.
KiloEx đã hoàn thành TGE độc quyền trên Binance Wallet vào ngày 27 tháng 3, thu hút hơn 70.000 người dùng tham gia đợt phát hành mới, với số tiền đăng ký vượt quá số tiền đăng ký gấp 300 lần.
Theo dữ liệu từ trang web chính thức, tổng khối lượng giao dịch của KiloEx là 3,764 tỷ đô la Mỹ và TVL hiện tại là 33,84 triệu đô la Mỹ. Theo dữ liệu của DefiLlama, khối lượng giao dịch trung bình hàng ngày của KiloEx là khoảng 100 triệu đô la Mỹ và khối lượng giao dịch 7 ngày là khoảng 500 triệu đô la Mỹ.
Các sự cố an ninh phơi bày cuộc khủng hoảng lòng tin và sự nghi ngờ của cộng đồng
Mặc dù nhóm dự án đã ngay lập tức đình chỉ các chức năng của nền tảng và làm việc với các cơ quan an ninh để theo dõi dòng tiền, nhưng thiệt hại thực tế từ cuộc tấn công lần gần bằng giá trị vốn hóa thị trường 7,3 triệu đô la Mỹ và định giá hoàn toàn pha loãng của nó chỉ vào khoảng 34,49 triệu đô la Mỹ. Việc đánh cắp số tiền lớn trong một dự án có quy mô như thế này chắc chắn đã giáng một đòn nặng nề vào lòng tin của người dùng. Điều đáng lo ngại hơn nữa là tính đến đến nay, đội ngũ KiloEx vẫn chưa đưa ra bất kỳ tuyên bố chi tiết nào về cơ chế bồi thường cho người dùng, kế hoạch phục hồi hoặc kế hoạch ứng phó tài trợ đội ngũ, khiến ranh giới giữa "cuộc tấn công hacker" và "liệu bên dự án có chịu trách nhiệm hay không" ngày càng trở nên mờ nhạt.
Trên các nền tảng xã hội, lượng lớn thành viên cộng đồng bày tỏ sự không hài lòng sâu sắc, cho rằng KiloEx không có cam kết rõ ràng trong việc bảo vệ quyền lợi của người dùng vào thời điểm quan trọng. Một số người dùng cáo buộc chủ dự án trên các nền tảng xã hội là "bỏ chạy thị trường gấu", "huy động vốn một cách rầm rộ nhưng xử lý hậu quả một cách kín tiếng", v.v. và bày tỏ lo ngại về quản trị nền tảng và tính minh bạch tài chính. Sự thay đổi nhanh chóng trong tâm lý thị trường cũng khiến giá token KILO giảm hơn 30% trong ngắn hạn.
Mặc dù sự cố KiloEx vẫn đang trong giai đoạn đầu xử lý sự cố, nhưng nó đã bộc lộ mâu thuẫn cốt lõi của vòng "kiểm tra tính bền vững" mới của các giao thức phi tập trung: bảo mật không phải là phản ứng sau khi dự án ra mắt mà là việc thiết lập trách nhiệm ngay từ giai đoạn đầu của kiến trúc. Đặc biệt, KiloEx được Binance Labs nuôi dưỡng và tham gia vào các hoạt động liên minh airdrop. Niềm tin giữa nhóm người dùng cốt lõi và nền tảng này được xây dựng dựa trên nhận thức về "sự xác nhận chính thức". Nếu bên dự án không đưa ra được kế hoạch trách nhiệm rõ ràng, bất kể có thu hồi được tiền hay không, thì niềm tin của thị trường vào "tính an toàn và khả năng kiểm soát" của mình sẽ bị suy yếu cơ bản, thậm chí có thể ảnh hưởng đến uy tín của mạng lưới hợp tác sinh thái.
Những thách thức về mặt cấu trúc trong bối cảnh các sự cố an ninh thường xuyên xảy ra: không chỉ là vấn đề của KiloEx
Đồng thời, các sự cố tiêu cực liên quan đến bảo mật gần đây thường xuyên xảy ra trong lĩnh vực Web3, làm trầm trọng thêm cuộc khủng hoảng lòng tin trong ngành. Ngay sau khi KiloEx bị hack, nhà đồng sáng lập Odin.fun Bob Bodily cũng tweet tài khoản của ông bị nghi ngờ đã bị hacker và sự cố vẫn đang được xử lý. Trước đó, một số người dùng đã báo cáo rằng tài sản trong tài khoản liên kết của họ đã bị xóa và nghi ngờ đã bị đánh cắp. Việc mở rộng các cuộc tấn công của hacker từ hợp đồng dự án sang tài sản cá nhân của người sáng lập cũng cho thấy rằng những kẻ tấn công hiện nay không còn giới hạn ở các lỗ hổng kỹ thuật mà còn phát động các cuộc tấn công có hệ thống thông qua các quyền đa chiều, kỹ thuật xã hội và thậm chí là lỗ hổng vận hành. Điều này đưa ra các yêu cầu quản trị bảo mật cấp cao hơn cho các bên tham gia dự án.
Điều đáng chú ý là một số DEX vừa và nhỏ hiện nay được thiết kế để sử dụng oracle trên Chuỗi để định giá, nhưng vẫn còn những thiếu sót rõ ràng trong kiểm soát truy cập, xác minh quyền và cảnh báo hành vi bất thường. Theo quan điểm của toàn bộ ngành công nghiệp Web3, các vấn đề như thiếu cơ chế bồi thường, cấu hình thẩm quyền không cân bằng và khoảng trống quyền lực trong quản trị token đang dần trở thành chỉ báo ranh giới đỏ trong logic đánh giá đầu tư thế hệ mới của cộng đồng. Trước đây, thị trường có xu hướng chú ý nhiều hơn đến thiết kế sản phẩm và mô hình trả lại token, nhưng với sự cố bảo mật thường xuyên xảy ra và các tiêu chuẩn quản lý thắt chặt, liệu dự án có thể thiết lập cơ chế chuỗi đầy đủ "bảo vệ trước + đóng băng trong sự kiện + bồi thường sau sự kiện" hay không sẽ trở thành biến số cốt lõi quyết định liệu người dùng và vốn có tiếp tục ủng hộ dự án hay không.
