El oráculo cayó: KiloEx perdió 7,5 millones de dólares en cuestión de segundos

La criptobolsa KiloEx confirmó que su bóveda fue comprometida como resultado de un ataque que, según la compañía, ya está contenido. Sin embargo, el atacante sigue intentando mover los fondos robados a través de puentes blockchain como zkBridge y Meson, lo que podría dificultar la investigación y la recuperación de los activos.

Representantes de KiloEx informaron que se están comunicando de forma urgente con los desarrolladores de dichos puentes para bloquear las transacciones y evitar nuevas pérdidas. En la investigación participan BNB Chain, Manta Network, Seal-911, así como los equipos de SlowMist y Sherlock, especializados en el seguimiento y análisis de incidentes cibernéticos en el entorno blockchain.

Según estimaciones, el daño total asciende a unos 7,5 millones de dólares en tokens BNB, Base y Taiko. Varios expertos señalan una vulnerabilidad en el sistema de gestión de acceso al oráculo de precios como la causa principal del incidente. Se destaca especialmente que el punto débil se encontraba en el contrato de alto nivel —MinimalForwarder.

Según datos de SlowMist, fue precisamente la ausencia de las verificaciones de acceso necesarias en el contrato MinimalForwarder lo que permitió al atacante interferir en el funcionamiento del oráculo de precios. Estos oráculos se utilizan para transferir datos del mundo real al entorno blockchain, incluidas las cotizaciones actuales de los activos. Manipularlos permite influir en las posiciones de trading dentro de plataformas descentralizadas.

Como explica SlowMist, el atacante primero reduce artificialmente el precio del activo, abre una posición en largo, luego sube bruscamente el precio y cierra la operación con ganancias. Gracias a esta maniobra, logró utilizar la información distorsionada en su beneficio. Los analistas de PeckShield, que confirmaron estas conclusiones, describieron un ejemplo concreto: el precio de ETHUSD se fijó en 100 dólares y luego se elevó instantáneamente a 10 000 dólares, lo que generó al hacker una ganancia de 3,12 millones de dólares en una sola transacción.

Desde KiloEx afirmaron que planean publicar un informe detallado del incidente en los próximos días, y anunciaron una recompensa para quienes ayuden a recuperar los activos o identificar al atacante. De esta manera, la bolsa apuesta por colaborar con la comunidad para minimizar las consecuencias del ataque.

La situación demuestra claramente lo crítico que es contar con verificaciones estrictas en los contratos inteligentes, especialmente en los elementos relacionados con oráculos. Incluso un pequeño descuido en la arquitectura puede conducir a un hackeo de gran escala si no se implementan mecanismos de protección a tiempo.