Violazioni della Sicurezza nelle Piattaforme DeFi
Due piattaforme di finanza decentralizzata, ZKsync e KiloEx, hanno subito significative violazioni della sicurezza questa settimana, con perdite superiori a 12 milioni di dollari. ZKsync ha rivelato il 15 aprile che un account amministrativo compromesso ha coniato token di airdrop non reclamati per un valore di 5 milioni di dollari, mentre KiloEx ha svelato un exploit avvenuto in precedenza, in cui un hacker ha rubato 7,5 milioni di dollari sfruttando una vulnerabilità di un oracolo di prezzo.
Entrambi i team hanno sottolineato che i fondi degli utenti rimangono al sicuro e che sono in corso sforzi coordinati di recupero.
Dettagli degli Exploit
A seguito di un preoccupante exploit, KiloEx ha emesso un appello pubblico all’hacker coinvolto, offrendo una ricompensa del 10% come opportunità finale per restituire i fondi rubati.
L’exploit è avvenuto il 14 aprile, quando i ricercatori di cybersecurity hanno identificato il DEX compromesso a causa di una vulnerabilità di un oracolo di prezzo. In termini semplici, il contratto intelligente responsabile della determinazione del valore degli asset digitali era stato manipolato, consentendo all’attaccante di falsificare i dati di prezzo e drenare fondi significativi.
Con la diffusione della notizia, KiloEx ha agito rapidamente per sospendere le operazioni e contenere la violazione. Tuttavia, il danno finanziario e reputazionale era già stato inflitto.
Offerta di Ricompensa e Conseguenze Legali
KiloEx ha inquadrato l’accordo come un’opportunità per l’attaccante di “fare la cosa giusta” e aiutare la comunità a recuperare dall’incidente.
KiloEx ha offerto una somma di 750.000 dollari – il 10% del totale dei fondi rubati – come premio per il ritorno del restante 90%. La piattaforma ha anche pubblicato gli indirizzi del wallet correlati all’attaccante, affermando che questi indirizzi erano sotto sorveglianza attiva da parte dell’exchange.
Il messaggio dell’exchange all’hacker era chiaro e carico di tensione: rispondere ora o affrontare le conseguenze.
Reazioni e Implicazioni per il Settore
In un altro colpo per il settore della finanza decentralizzata, ZKsync ha confermato il 15 aprile che un hacker ha sfruttato un account admin compromesso per coniare token di airdrop non reclamati per un valore di 5 milioni di dollari. Anche se nessun fondo degli utenti è stato colpito, la violazione ha gettato un’ombra sulla tanto attesa campagna di distribuzione dei token di ZKsync.
Il team di ZKsync ha rivelato che un attore non autorizzato aveva ottenuto accesso a un account amministrativo, gonfiando l’offerta totale dei token dello 0,45% in pochi minuti. L’attaccante deteneva ancora il controllo della maggior parte dei fondi rubati.
Con oltre 59,22 milioni di dollari di valore totale bloccato sulla piattaforma ZKsync Era, questa violazione si aggiunge a un crescente elenco di hack crittografici, con 2 miliardi di dollari di perdite accumulate solo nel primo trimestre del 2025.
Conclusione
Le cifre sorprendenti evidenziano la necessità di un miglior audit, di una gestione chiave più efficace e di solide misure di sicurezza per gli account admin attraverso i protocolli DeFi. Con airdrop di alto valore, bridge di token e piattaforme di staking che diventano sempre più comuni, le superfici di attacco si sono ampliate considerevolmente.
In questo contesto, KiloEx e ZKsync affrontano sfide significative per mantenere la fiducia degli utenti e garantire la sicurezza delle loro piattaforme.
