Decentralizuotas amžinas birža „Kiloex“ paskelbė pomirtinį pomirtinį savo 7 milijonų dolerių išnaudojimą, atsirandantį dėl kritinės intelektualios sutarties pažeidžiamumo.
Remiantis ataskaita, klausimas kilo iš „TrustedForwarder“ sutarties, kuri paveldėjo iš „Openzeppelin“ minimalforwarderupgradeable, tačiau nepaisė „vykdymo“ metodo, paliekant jį be leidimo.
Ši priežiūra leido užpuolikui manipuliuoti prekybos pozicijomis keliose grandinėse. Balandžio 13 d. Užpuolikas inicijavo išnaudojimą, pašalindamas 1 ETH (ETH) iš „Tornado Cash“, kad finansuotų pinigines per grandines.
Užpuolikas įvykdė išnaudojimą per mažiau nei valandą, piktnaudžiaudamas atviro metodu, kad atidarytų ir uždarytų pozicijas palankiomis kainomis.
Išnaudojimą pirmiausia buvo aptikta kinerinių perspėjimų, kurie pažymėjo įtartiną kryžminės grandinės aktyvumą visoje bazėje, Taiko ir BNB grandinėje. Anot Peckshield, nuostoliai buvo paplitę visoje bazėje, OPBNB ir BSC.
Įsilaužėlių derybos
Remiantis ataskaita ir po nuolatinių derybų, įsilaužėlis susitarė dėl 10% palaimos išlaikymo ir sistemingai grąžino visą pavogtą turtą į „Kiloex“ paskirtas saugias daugialypes pinigines.
„Kiloex“ teigė, kad pažeidžiamumas buvo nustatytas, ir pabrėžė, kad jokios atviros pozicijos nebus likviduojamos. Vietoj to, visos pozicijos bus uždarytos atsižvelgiant į kainų momentinius vaizdus, padarytas prieš išpuolį. Pelnas ir nuostoliai nuo išnaudojimo laikotarpio neįskaičiuojami į galutinius vartotojų likučius.
Platforma taip pat teigė, kad ji dirbo su policija ir „Slowmist“, kad ištirtų įsilaužimą.
