预言机漏洞成破口！KiloEx遭黑客攻击损失7百万美元

由YZi Labs投资的去中心化永续合约交易所KiloEx惊传遇黑，攻击者利用预言机（Oracle）漏洞横跨多个区块链网络发动攻击，短短数小时内窃走700 万美元资产。

区块链安全公司Cyvers 指出，这起攻击是由一个透过Tornado Cash（混币服务）洗钱的钱包发起，在Base 、 BNB Chain 与Taiko链上同步发动攻势，锁定KiloEx 预言机存取控制漏洞，利用闪电贷手法操纵资产价格，随后从平台提走巨额资金。

KiloEx 证实遭攻击、暂停平台服务

KiloEx 稍早已证实遭到攻击，并紧急暂停平台服务，目前正与多方合作展开调查，以追踪骇客钱包、锁定资金流向，尝试冻结遭窃资金。

预言机是区块链金融应用中连接链上、链下世界的重要桥梁，负责提供如加密货币报价等外部数据，让智能合约能据此判断市场价格、执行交易。然而，一旦预言机机制稍有瑕疵，就可能沦为骇客入侵的破口。

本次事件中，由于KiloEx 预言机的权限验证设计不当，让攻击者能利用闪电贷（或临时流动性）来篡改数据、伪造市场价格。

举例来说，攻击者将以太币价格压低至极不合理的水平（如100 美元），再开出高杠杆多单，瞬间创造帐面获利，随即提领资金。

这套攻击手法在Base 、 BNB Chain 与Taiko 链上反覆套用，其中单笔最大获利达312 万美元，合计套利约 700 万美元。

受消息影响，KiloEx 原生代币KILO今（15）日大幅下挫，写稿时报0.03821 美元，过去24 小时下跌超过28%。该代币自3 月27 日创下0.1648 美元的历史高点以来，已回档超过76% 。 

预言机攻击并非首例，DeFi 安全问题再度浮上台面

实际上，KiloEx 并非首个因预言机漏洞遭攻击的DeFi 平台。 2021 年Cream Finance 就曾因类似手法损失逾1.3 亿美元；2022 年Mango Markets 更惨赔1 亿美元。此次事件无疑再次点燃业界对预言机设计与防御机制的警觉。

如今，随着越来越多DeFi 协议横跨多链、多资产运作，安全挑战也变得更加复杂。随着生态日渐壮大，如何强化预言机机制、防堵合约漏洞，将是平台能否永续经营的关键。