輪撥

2025年4月15日 星期二

去中心化交易平台再爆漏洞!KiloEx 遭攻擊損失 700 萬美元,價格預言機成為最大破口

kiloex-oracle-hack-2024-analysis

去中心化交易平台再爆漏洞!KiloEx 遭攻擊損失 700 萬美元,價格預言機成為最大破口

去中心化金融(DeFi)世界再度傳來震撼消息。主打永續合約交易的去中心化交易所 KiloEx,於本週遭遇了一場精密的攻擊,根據區塊鏈安全分析公司 Cyvers 的調查,損失金額約為 700 萬美元。這起攻擊涉及多個鏈(Base、BNB Chain 和 Taiko),並揭示出平台預言機系統的安全漏洞。

預言機漏洞成為重災區:DeFi 世界的阿基里斯之踵

預言機(Oracle)是鏈上智能合約與現實世界資料的橋樑,例如提供以太幣(ETH)現價給 DeFi 平台使用。然而,一旦預言機的資料來源或存取控制出現問題,就可能被有心人士操控,導致整個系統的定價機制失準。

KiloEx 的案例中,攻擊者透過 Tornado Cash 匿名資金來源,利用預言機存取控制的漏洞,結合閃電貸技術,成功操控價格資料,讓 ETH 的價格出現「假低價」。這樣的假價格讓攻擊者可以低價建立高槓桿部位,再透過「價格回復」讓這些部位看似獲得高額獲利,最終從平台提領大量資金。

跨鏈風險與即時反應挑戰

這起事件不僅發生在單一鏈上,而是橫跨 Base、BNB Chain 與 Taiko 三條區塊鏈,凸顯了當前多鏈操作的風險。跨鏈操作雖然提高了資產流動性與交易便利性,但也拉大了攻擊面積,使平台難以及時封鎖攻擊路徑。

KiloEx 在事件發生後緊急暫停所有操作,並與合作夥伴追蹤被盜資金,同時將攻擊者錢包列入黑名單,但這些動作顯然已經無法挽回先前的損失。

宏觀觀點:DeFi 安全性的制度性挑戰

這並非首次出現預言機遭操控的情況,從 2021 年的 Cream Finance(損失 1.3 億美元)到 2022 年的 Mango Markets(損失 1 億美元),這類攻擊層出不窮,顯示出整個 DeFi 生態系在安全機制建構上的制度性缺陷。

目前大部分 DeFi 平台仍依賴第三方預言機服務如 Chainlink,但一旦平台選擇自行搭建預言機或在存取控制上疏漏,就可能成為潛在破口。此外,攻擊者越來越擅長利用閃電貸與跨鏈轉移資金的手法,使得傳統風控手段難以即時防堵。

法規與政策面:監管空白帶來的雙面刃

目前全球對 DeFi 平台的監管仍處於探索期,尤其是在預言機、閃電貸與匿名交易工具(如 Tornado Cash)方面,缺乏明確的法律規範。這類漏洞事件在無監管的情況下,受害用戶往往求助無門,平台也不具備法定責任。

未來若各國政府加強對 DeFi 平台的監管(例如歐盟的 MiCA 法案、美國 SEC 的加密資產規則),或許能提升平台安全性與使用者保障,但同時也可能壓縮創新的空間,導致部分開發者轉向無監管區域。

投資人與用戶風險:該如何自保?

DeFi 世界雖然具有高報酬潛力,但也伴隨高風險。對一般用戶而言,以下幾點可作為自我保護建議:

  • 選擇經過審計、且有使用主流預言機(如 Chainlink)的平台。
  • 避免將大量資金投入單一平台,分散風險。
  • 關注平台是否有保險機制或風險準備金制度。
  • 密切留意項目公告與社群動態,對異常訊號提高警覺。

結語

KiloEx 事件再次提醒我們,DeFi 的「無信任」系統雖然解放了傳統金融的中心控制,但在技術與安全設計上仍有許多待補課之處。預言機作為鏈上與鏈下的關鍵連結,若無妥善保護,將可能成為黑客攻擊的首選目標。

未來的 DeFi 發展,需要更成熟的監管框架、更嚴格的安全審計與更高的用戶教育,方能讓這場金融革命真正走向普惠與永續。


文章來源:https://www.coindesk.com/markets/2025/04/15/dex-kiloex-loses-usd7m-in-apparent-oracle-manipulation-attack

沒有留言:

張貼留言

網頁