Por Hannah Pérez El robo fue el resultado de la explotación de una falla que conllevó a manipulación del oráculo de precios. KiloEx exigió al hacker que devuelva el 90% de los fondos robados o que se enfrente a una búsqueda legal implacable.
***
- El intercambio descentralizado KiloEx sufrió una explotación por USD $7,5 millones.
- Hacker explotó una falla de contrato que llevó a manipulación del oráculo de precios.
- Extrajo los fondos de varias redes Blockchain, incluidas Base y BSC.
- El equipo de KiloEx amenazó con exponer al hacker si no devuelve el 90% de los fondos.
KiloEx es la última plataforma de finanzas descentralizadas (DeFi) en ser golpeada por un hackeo millonario.
El intercambio descentralizado (DEX) KiloEx, que ofrece negociación de futuros perpetuos, enfrentó el martes una pérdida por más de USD $7 millones en criptomonedas como resultado de un ataque de manipulación de oráculos de precios.
La explotación, que se desarrolló en múltiples redes Blockchain, provino de la falta de controles de acceso en un contrato inteligente de nivel superior de la plataforma, lo que condujo a la manipulación de los precios del oráculo, indicó el equipo de seguridad de SlowMist.
La información fue corroborada por KiloEX en redes sociales, después de que el equipo procediera más temprano a suspender el uso de su plataforma y anunciara que se encontraba rastreando los fondos como parte de un esfuerzo de investigación de “ecosistemas múltiples“.
“Estamos analizando el vector de ataque y los activos afectados. Estamos colaborando con socios del ecosistema para rastrear y recuperar fondos cuando sea posible”, escribió KiloEx, indicando esfuerzos para poner la billetera de los atacantes en las listas negras.
KiloEx sufre ataque de manipulación de oráculos
El atacante de KiloEX habría utilizado una billetera financiada a través de Tornado Cash para ejecutar una serie de transacciones en las redes Base, BNB Chain y Taiko, y aprovechar así la vulnerabilidad en el sistema de oráculo de precios de la plataforma, notó la firma de análisis en cadena Cyvers. Esto permitió al atacante manipular los precios de los activos.
La firma de ciberseguridad PeckShield dijo en una publicación separada en X que el explotador retiró en total USD $7,5 millones, compuesto por USD $3,3 millones en activos de Base, USD $3,1 millones en opBNB y USD $1 millón en BSC.
Los oráculos son herramientas basadas en Blockchain que transmiten datos externos a una cadena de bloques. Los contratos inteligentes de una plataforma utilizan estos datos para tomar decisiones. Por ejemplo, el oráculo le dice a un DEX el precio de Ether (ETH), lo que garantiza que las operaciones se realicen a precios de mercado justos. Pero los oráculos pueden ser un eslabón débil.
En el caso de KiloEx, el atacante explotó esencialmente una falla que permite a actores maliciosos manipular datos mediante el uso de préstamos flash, engañando al sistema para que creyera precios falsos. En particular, el atacante engañó al sistema para informar un precio absurdamente bajo de ETH al abrir una posición apalancada.
El hacker creó “una nueva posición con un precio inicial dado de ETH/USD de 100 y luego cerró inmediatamente la posición con un precio inflado de ETH/USD de 10000, obteniendo la ganancia de USD $3,12 millones en una sola transacción“, explicó PeckShield.
Vale señalar que Tornado Cash es un mezclador de criptomonedas descentralizado —una herramienta que oscurece los rastros de las transacciones en la Blockchain que con frecuencia es utilizada por actores maliciosos para lavar fondos.
Recompensa de 10% o amenaza de exposición
En una de sus últimas actualizaciones, KiloEx buscó establecer comunicación con el atacante, ofreciéndole conservar el 10% de los fondos robados como recompensa si devuelve el 90% del botín. Lo amenazaron con tomar acciones severas en su contra de lo contrario.
“Informaremos sobre esta resolución, reconociendo su cooperación y cerrando el caso sin más acciones”, escribió el equipo en X. “Si está de acuerdo, contáctenos en operation@kiloex.io o envíe un mensaje en la cadena para confirmar”.
El DEX ha prometido exponer la identidad del atacante y buscar recursos legales en su contra en caso de ignorar la oferta.
“Si no cumples, escalaremos la investigación con los socios de aplicación de la ley y ciberseguridad. Su identidad y actividades estarán expuestas a las autoridades pertinentes. Procuraremos acciones legales sin descanso. La elección es tuya. Actúa ahora para evitar consecuencias irreversibles”, amenazó el equipo de KiloEx.
To Hacker:
Our investigation, supported by law enforcement, cybersecurity agencies, and multiple exchanges & bridge protocols, has uncovered critical information about your activities.
We are actively monitoring your addresses (0x551f3110f12c763d1611d5a63b5f015d1c1a954c,…
— KiloEx (@KiloEx_perp) April 15, 2025
Los problemas de oráculos no son nuevos, y varias plataformas DeFi han sufrido ataques de este tipo en el pasado. Mango Markets enfrentó en 2022 una explotación donde el atacante identificado Avraham Eisenberg extrajo USD $110 millones. Eisenberg fue condenado por cargos de fraude en 2024 por un tribunal en Nueva York, EE. UU.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
América Latina
Esta campaña invita a usuarios en América Latina a probar DeFi en Bitcoin y ganar USD $600
DeFi
Pump.fi: la nueva plataforma de préstamos para comprar memecoins y NFT de Pump.fun
DeFi
Familia Trump toma control de World Liberty Financial tras recaudación de USD $550 millones: Reuters
DeFi