「預言機漏洞」成破口！KiloEx 遭駭客攻擊損失 7 百萬美元

由 YZi Labs 投資的去中心化永續合約交易所 KiloEx 驚傳遇駭，攻擊者利用預言機（Oracle）漏洞橫跨多個區塊鏈網路發動攻擊，短短數小時內竊走 700 萬美元資產。

區塊鏈安全公司 Cyvers 指出，這起攻擊是由一個透過 Tornado Cash（混幣服務）洗錢的錢包發起，在 Base 、 BNB Chain 與 Taiko 鏈上同步發動攻勢，鎖定 KiloEx 預言機存取控制漏洞，利用閃電貸手法操縱資產價格，隨後從平台提走巨額資金。

🚨7M HACK ALERT🚨Our system has detected multiple suspicious transactions involving @KiloEx_perp across several chains.

An address funded via @TornadoCash has executed a series of exploitative transactions on the $BNB , $Base , and $Taiko chains — accumulating approximately $7M in… pic.twitter.com/od4UTsSrXs

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) April 14, 2025

KiloEx 證實遭攻擊、暫停平台服務

KiloEx 稍早已證實遭到攻擊，並緊急暫停平台服務，目前正與多方合作展開調查，以追蹤駭客錢包、鎖定資金流向，嘗試凍結遭竊資金。

預言機是區塊鏈金融應用中連接鏈上、鏈下世界的重要橋樑，負責提供如加密貨幣報價等外部數據，讓智能合約能據此判斷市場價格、執行交易。然而，一旦預言機機制稍有瑕疵，就可能淪為駭客入侵的破口。

本次事件中，由於 KiloEx 預言機的權限驗證設計不當，讓攻擊者能利用閃電貸（或臨時流動性）來篡改數據、偽造市場價格。

舉例來說，攻擊者將以太幣價格壓低至極不合理的水平（如 100 美元），再開出高槓桿多單，瞬間創造帳面獲利，隨即提領資金。

這套攻擊手法在 Base 、 BNB Chain 與 Taiko 鏈上反覆套用，其中單筆最大獲利達 312 萬美元，合計套利約 700 萬美元。

受消息影響，KiloEx 原生代幣 KILO 今（15）日大幅下挫，寫稿時報 0.03821 美元，過去 24 小時下跌超過 28% 。該代幣自 3 月 27 日創下 0.1648 美元的歷史高點以來，已回檔超過 76% 。 

預言機攻擊並非首例，DeFi 安全問題再度浮上檯面

實際上，KiloEx 並非首個因預言機漏洞遭攻擊的 DeFi 平台。 2021 年 Cream Finance 就曾因類似手法損失逾 1.3 億美元；2022 年 Mango Markets 更慘賠 1 億美元。此次事件無疑再次點燃業界對預言機設計與防禦機制的警覺。

如今，隨著越來越多 DeFi 協議橫跨多鏈、多資產運作，安全挑戰也變得更加複雜。隨著生態日漸壯大，如何強化預言機機制、防堵合約漏洞，將是平台能否永續經營的關鍵。