KiloEx被盗740万美元，是代码漏洞还是监守自盗？

原创 | （@OdailyChina）

作者 | Asher（@Asher_ 0210 ）

今晨，由 YZi Labs 投资的链上合约平台 KiloEx 地址被盗，损失超 700 万美元，涉及到 BNB Chain、Base 等多条链上资产。根据链上数据，受此被盗事件影响，其项目代币 KILO 24 小时跌幅 22.8% ，现报 0.038 美元。目前，根据官方数据，KiloEx 平台目前未平仓合约价值已下降至 600 万美元，此外，根据 DefiLlama 数据，KiloEx TVL 目前仍有 3400 万美元。

KILO 价格走势

接下来，为大家梳理对于此处 KiloEx 地址被盗事件的原因、团队回应以及社区看法。

KiloEx 项目简介

KiloEx 是一个去中心化交易所，专注于永续合约交易，旨在为用户提供友好的交易体验。KiloEx 支持多个区块链，包括 BNB Chain、opBNB、Manta、Taiko 和 Base。KiloEx 利用费率基差将永续合约价格与现货价格锚定，确保交易的稳定性和可靠性。用户在 KiloEx 平台交易的优势在于：

• 无需原生 Gas 代币：支持 USDT/USDC 支付 Gas 费，无需额外跨链兑换；

• 免签交易，操作便捷：无需繁琐签名，交易流程更加流畅；

• 高效执行，接近 CEX 体验：优化交易速度，提升用户交互效率。

2023 年 8 月，YZi Labs 宣布向四个 MVB VI 优秀项目投资，其中包括永续合约 DEX KiloEx（另外三个分别为：以太坊扩容项目 AltLayer、DeFi 借贷协议 Kinza 和 AI 游戏 Sleepless AI），并且，KiloEx 也是 BNB Chain 空投联盟计划的项目成员。

今年 3 月 27 日，币安钱包与 PancakeSwap 合作推出 KiloEx（KILO）独家 TGE，超募近 300 倍，此外，TGE 当日 Binance Alpha 宣布上线 KiloEx （KILO）。

KiloEx 被盗的根本原因在于价格预言机的访问控制漏洞

据链上数据监测显示，去中心化永续合约协议 KiloEx 遭遇黑客攻击，造成总计约 740 万美元的资产损失，分别分布在 Base 链（约 330 万美元）、opBNB 链（约 310 万美元）和 BNB Smart Chain（约 100 万美元）上。

此次攻击的根本原因在于协议中价格预言机的访问控制存在严重漏洞。通俗来讲，预言机本应由受信任的角色更新价格信息，但由于缺乏必要的权限限制，攻击者得以绕过验证机制，任意篡改资产价格，从而操控合约逻辑。

KiloEx 被盗地址分析

根据区块链安全机构 PeckShield 的初步分析，其中一笔利用该漏洞的交易过程被详细披露。攻击者首先以 ETHUSD 的异常低价（如 100 美元）创建一个新仓位，随后通过将 ETH/USD 价格人为地篡改为虚高的 10000 美元，在几乎没有实际行情波动的情况下立即平仓，从而实现巨额套利，仅此一笔交易便获得了高达 312 万美元的收益。

目前，黑客地址（0x00fac92881556a90fdb19eae9f23640b95b4bcbd）在持续通过 zkBridge 进行资金转移，地址资金仍有 540 万美元未转移。

黑客地址

KiloEx 官方对被盗事件回应：KiloEx Vault 遭攻击

针对本次重大安全事件，KiloEx 团队已在第一时间做出官方回应。根据公告内容，本次攻击目标为 KiloEx 的核心资产模块 —— KiloEx Vault，黑客通过技术手段入侵该模块并成功盗取了平台上的大额资金。

官方强调，事件发生后，团队已迅速采取应急措施，敦促所有集成和合作的协议方、交易平台以及第三方服务商，立即将涉案黑客地址列入黑名单，以最大限度防止被盗资产进一步流动或被清洗。为鼓励社区力量协助调查与追踪资金，KiloEx 宣布将推出漏洞赏金计划，奖励能提供有效安全漏洞信息或协助追回资产的个人和组织。

此外，KiloEx 官方表示，目前攻击已得到控制，平台功能已暂停使用，KiloEx 正与多家专业安全机构紧密协作，追踪资金流向并分析攻击者的技术路径。目前团队正在分析本次攻击的具体手法及受影响的资产，完整的事件报告预计将在未来几天内向社区公布。

未给出具体赔付计划引发社区不满情绪

尽管 KiloEx 团队在事件发生后迅速做出回应，采取了包括暂停平台、追踪资金、联合安全机构介入等一系列措施，但社区最为关心的“如何赔付用户损失”这一关键问题却并未在公告中提及，令用户失望。尤其是面对高达 740 万美元的被盗金额，用户急切希望了解平台是否会承担责任、赔偿机制是否存在，但相关内容始终缺席。

这一回应中的缺位很快在社区引发大量质疑。KiloEx 的社交媒体评论区充斥着“监守自盗”、“已跑路”、“自导自演”等激烈言论，有用户甚至表示“目前的流通市值才 800 万美元，被盗了 740 万美元，你们该如何赔付”。

目前，KiloEx 团队尚未就赔付问题做出公开表态，或引发更大范围的用户维权和资产撤离风波，也将跟踪报道。