去中心化交易平台再爆漏洞！KiloEx 遭攻擊損失 700 萬美元，價格預言機成為最大破口

去中心化金融（DeFi）世界再度傳來震撼消息。主打永續合約交易的去中心化交易所 KiloEx，於本週遭遇了一場精密的攻擊，根據區塊鏈安全分析公司 Cyvers 的調查，損失金額約為 700 萬美元。這起攻擊涉及多個鏈（Base、BNB Chain 和 Taiko），並揭示出平台預言機系統的安全漏洞。

預言機漏洞成為重災區：DeFi 世界的阿基里斯之踵

預言機（Oracle）是鏈上智能合約與現實世界資料的橋樑，例如提供以太幣（ETH）現價給 DeFi 平台使用。然而，一旦預言機的資料來源或存取控制出現問題，就可能被有心人士操控，導致整個系統的定價機制失準。

KiloEx 的案例中，攻擊者透過 Tornado Cash 匿名資金來源，利用預言機存取控制的漏洞，結合閃電貸技術，成功操控價格資料，讓 ETH 的價格出現「假低價」。這樣的假價格讓攻擊者可以低價建立高槓桿部位，再透過「價格回復」讓這些部位看似獲得高額獲利，最終從平台提領大量資金。

跨鏈風險與即時反應挑戰

這起事件不僅發生在單一鏈上，而是橫跨 Base、BNB Chain 與 Taiko 三條區塊鏈，凸顯了當前多鏈操作的風險。跨鏈操作雖然提高了資產流動性與交易便利性，但也拉大了攻擊面積，使平台難以及時封鎖攻擊路徑。

KiloEx 在事件發生後緊急暫停所有操作，並與合作夥伴追蹤被盜資金，同時將攻擊者錢包列入黑名單，但這些動作顯然已經無法挽回先前的損失。

宏觀觀點：DeFi 安全性的制度性挑戰

這並非首次出現預言機遭操控的情況，從 2021 年的 Cream Finance（損失 1.3 億美元）到 2022 年的 Mango Markets（損失 1 億美元），這類攻擊層出不窮，顯示出整個 DeFi 生態系在安全機制建構上的制度性缺陷。

目前大部分 DeFi 平台仍依賴第三方預言機服務如 Chainlink，但一旦平台選擇自行搭建預言機或在存取控制上疏漏，就可能成為潛在破口。此外，攻擊者越來越擅長利用閃電貸與跨鏈轉移資金的手法，使得傳統風控手段難以即時防堵。

法規與政策面：監管空白帶來的雙面刃

目前全球對 DeFi 平台的監管仍處於探索期，尤其是在預言機、閃電貸與匿名交易工具（如 Tornado Cash）方面，缺乏明確的法律規範。這類漏洞事件在無監管的情況下，受害用戶往往求助無門，平台也不具備法定責任。

未來若各國政府加強對 DeFi 平台的監管（例如歐盟的 MiCA 法案、美國 SEC 的加密資產規則），或許能提升平台安全性與使用者保障，但同時也可能壓縮創新的空間，導致部分開發者轉向無監管區域。

投資人與用戶風險：該如何自保？

DeFi 世界雖然具有高報酬潛力，但也伴隨高風險。對一般用戶而言，以下幾點可作為自我保護建議：

• 選擇經過審計、且有使用主流預言機（如 Chainlink）的平台。
• 避免將大量資金投入單一平台，分散風險。
• 關注平台是否有保險機制或風險準備金制度。
• 密切留意項目公告與社群動態，對異常訊號提高警覺。

結語

KiloEx 事件再次提醒我們，DeFi 的「無信任」系統雖然解放了傳統金融的中心控制，但在技術與安全設計上仍有許多待補課之處。預言機作為鏈上與鏈下的關鍵連結，若無妥善保護，將可能成為黑客攻擊的首選目標。

未來的 DeFi 發展，需要更成熟的監管框架、更嚴格的安全審計與更高的用戶教育，方能讓這場金融革命真正走向普惠與永續。

文章來源:https://www.coindesk.com/markets/2025/04/15/dex-kiloex-loses-usd7m-in-apparent-oracle-manipulation-attack