分散型取引所KiloEX　750万ドルの不正流出が発生　プラットフォームの利用停止を発表

分散型取引所KiloEXは、750万ドル規模の不正流出を受け、プラットフォームの利用を停止し、盗まれた資金の追跡を進めていることを確認した。

KiloEXは4月14日、X上で発表した声明の中で、被害は封じ込められており、現在調査を進めていると述べた。

「チームは直ちにプラットフォームの利用を停止し、資金の流れを追跡するためにセキュリティパートナーと協力している」とKiloEXは述べている。

「攻撃手法や影響を受けた資産について分析を進めており、エコシステム内のパートナーと協力して、可能な限り資金の追跡と回収を試みている」。

同取引所は、今回の不正流出の経緯を明らかにする詳細なレポートの作成と、バグ報奨制度の導入も予定している。

その後のアップデートで、KiloEXはBNBチェーン、マンタ・ネットワーク、そしてサイバーセキュリティ企業Seal-911、スローミスト、シャーロックとともに、「複数のエコシステムにまたがる」対応を進めていると発表した。

「調査の結果、盗まれた資産は現在、zkBridgeおよびMesonを通じて送金されていることが確認された」とKiloEXは説明している。「両プロトコルと緊急に連携し、進行中のトランザクションを停止し、さらなる損失の発生を防ぐための対応を進めている」。

不正流出は価格オラクルの脆弱性が原因か

サイバーセキュリティ企業ペックシールドは4月14日のX投稿で、今回の攻撃者が合計750万ドル相当を盗み取ったとし、その内訳はBaseで330万ドル、opBNBで310万ドル、BSCで100万ドルであると報告した。

同社は今回の攻撃について、スマートコントラクトが資産価格を参照する際に用いるオラクルの情報が操作された、または不正確だった可能性が高いと分析している。

「最初の取引分析から、価格オラクルの問題であることが示唆されている」とペックシールドは述べている。「攻撃者は、ETH/USD価格を100とする新規ポジションを作成し、その後すぐに価格を1万ドルに吊り上げてクローズすることで、単一取引で312万ドルの利益を得た」。

ブロックチェーン分析企業ファズランドの共同創業者であるチャオファン・ショウ氏も、同様にオラクルの脆弱性が原因とみている。

「誰でもKiloの価格オラクルを変更できてしまう設計になっている。確かに呼び出し元が信頼されたフォワーダーであることは検証していたが、そのフォワーダーに送信した元のコール元は検証していなかった」とショウ氏は述べた。

また、今回の攻撃が複雑だったかどうかについて質問された際、「非常に単純な脆弱性だ」と付け加えている。

このニュースを受けて、KiloEXのネイティブトークン「Kilo」は27％以上急落し、0.03596ドルで取引されている。3月27日に記録した過去最高値0.1648ドルからはすでに78％以上の下落だ。

KiloEXは2023年に設立され、バイナンス・ラボがリード投資家および戦略的パートナーとして支援している。

今回の不正流出の直前、KiloEXはドバイ拠点のWeb3系ベンチャーキャピタルであるDWFラボとの提携を4月13日に発表している。