Een pijnlijke blunder heeft de gedecentraliseerde exchange KiloEx $7,5 miljoen gekost. Door een zwakke plek in hun prijsmechanisme wist een aanvaller met een paar slimme zetten miljoenen aan crypto weg te sluizen. Het platform is per direct offline gehaald, en een zoektocht naar de dader en de fondsen is in volle gang.

Eén zwakke plek, miljoenen weg

De aanval draait om een zogeheten price oracle, een systeem dat externe prijsdata aan slimme contracten levert. Maar bij KiloEx bleek die bron makkelijk te manipuleren. De hacker gebruikte die fout om een positie te openen tegen een extreem lage ETH-prijs ($100) en sloot die meteen af tegen een veel te hoge prijs ($10.000). Resultaat? Meer dan $3 miljoen winst, in één klap.

Volgens blockchainonderzoekers van PeckShield en Fuzzland was dit een “simpel lek” dat met iets meer controle makkelijk voorkomen had kunnen worden.

“Iedereen kon de prijsbron aanpassen,” aldus Fuzzland-oprichter Chaofan Shou.

“Ze checkten wel wie de actie uitvoerde, maar niet wie daarachter zat.”

KiloEx trekt aan de noodrem

Direct na de hack trok het team aan de handrem. Het platform is stilgelegd, gebruikers kunnen niets meer doen en een onderzoek is gestart. Samen met partijen als BNB Chain, Manta Network, SlowMist en Sherlock probeert KiloEx nu te achterhalen waar het geld is gebleven. De aanvaller zou de gestolen crypto inmiddels via zkBridge en Meson verplaatsen — twee netwerken die vaak worden gebruikt om geld weg te sluizen tussen blockchains.

Er komt ook een beloningsprogramma voor tips en een volledig rapport over hoe dit kon gebeuren.

Timing kon niet slechter

De timing is extra pijnlijk: KiloEx kondigde daags voor de hack nog vol trots een samenwerking aan met durfkapitalist DWF Labs uit Dubai. Samen zouden ze de groei van KiloEx versnellen en het platform wereldwijd op de kaart zetten. Dat vertrouwen lijkt nu ver weg. De KILO-token kelderde met 27% naar $0,035 — ver onder de piek van $0,16 die eind maart werd bereikt.

KiloEx werd in 2023 opgericht met steun van Binance Labs. Maar of het platform zich weet te herstellen van deze tegenslag? Dat hangt nu vooral af van of ze het gestolen geld kunnen terughalen — én het vertrouwen van gebruikers kunnen terugwinnen.