“Make a deal”: Как биржа KiloEx вернула украденные $8,4 млн

14 апреля децентрализованная биржа криптовалютных деривативов KiloEx подверглась взлому, с помощью которого хакеру удалось вывести активы на $8,4 млн. Спустя несколько дней торговая платформа смогла вернуть криптовалюту. GetBlock AML Research объясняет, как это произошло и что будет с биржей дальше.

Причина взлома

После атаки в KiloEx выяснили, что злоумышленник воспользовался внутренней уязвимостью смарт-контракта, которая позволила обойти все проверки и разрешения для открытия позиций и вывода средств. Уязвимость находилась в методе execute контракта TrustedForwarder, который унаследовал контракт MinimalForwarderUpgradeable без переопределения метода.

Исходный код метода execute

Хронология атаки

13.04.25 23:31:59 UTC. Принадлежащий хакеру адрес (0x00faC92881556A90FdB19eAe9F23640B95B4bcBd) получил 1 ETH из Tornado Cash в качестве первичного финансирования;

14.04.25 01:21:36 UTC. Хакер распределил средства в разных сетях (opBNB, Base, BSC, Taiko, B2 и Manta) с использованием кросс-чейн мостов;

14.04.25 19:36:49 UTC. В описанных выше сетях были развернуты вредоносные смарт-контракты с эксплоитами;

14.04.25 19:40:49 UTC. Хакер провел успешную атаку, использовав развернутые контракты.

Один из вредоносных контрактов в сети opBNB

Реакция команды KiloEx

Разработчики биржи KiloEx молниеносно отреагировали на атаку, провели анализ и обнаружили уязвимость, которую использовал злоумышленник. Не имея альтернатив, команда KiloEx быстро приняла единственно правильное решение — выйти на контакт с хакером и предложить ему урегулировать ситуацию путем возврата средств. По условиям KiloEx, хакер мог оставить себе 10% от суммы взлома в качестве вознаграждения за найденную уязвимость.

Общение команды KiloEx и хакера в блокчейне Ethereum

Хакер согласился на условия разработчиков KiloEx и вернул на новые защищенные кошельки биржи похищенные активы, за исключением своего вознаграждения.

Адреса, используемые KiloEx для хранения активов:

• 0xb1a95732ed3c75f7b1dc594a357f7a957e9baad2 (opBNB network)
• 0xd38a22f5330f45162f13086d6ccbde0335c1ae9e (Ethereum network)
• 0x0f9c71f888c1d263eab34d6d9360a3a45855365d (Manta network)

Именно скорость реакции команды KiloEx и быстрый выход на контакт с хакером смогли разрешить ситуацию и спасти проект, поскольку разработчики биржи обратились к взломщику еще до того, как он успел отмыть средства.

Планы на будущее не определены

После успешного возврата похищенных средств команда KiloEx не стала спешить и перезапускать биржу. На своей странице в соцсети X они сообщили, что сначала проведут комплексную проверку безопасности, чтобы найти другие уязвимости и исключить возможность повторного взлома. После этого KiloEx проведут полный аудит логики и экономической модели биржи. Продолжительность технических работ разработчики оценили примерно в 45 дней. После этого команда KiloEx сообщит о дальнейших действиях.

Обращение команды KiloEx в X