比推消息，据 KiloEx 发文对黑客事件根本原因分析和事后总结称，事件起因是其智能合约中的 TrustedForwarder 合约继承了 OpenZeppelin 的 MinimalForwarderUpgradeable 但未重写 execute 方法，导致该函数可被任意调用。

攻击发生于 4 月 14 日 18:52 至 19:40（UTC），黑客通过在 opBNB、Base、BSC、Taiko、B2 和 Manta 等多个链上部署攻击合约实施攻击。经过协商，黑客同意保留 10% 赏金，并已将所有被盗资产（包括 USDT、USDC、ETH、BNB、WBTC 和 DAI）退还至 KiloEx 指定的多重签名钱包。