Podle BlockBeats se Velocore, decentralizovaná výměnná platforma, stala cílem hackerů, kteří ukradli 1807 ETH, což odpovídá přibližně 6,88 milionu dolarů. Po útoku společnost Velocore vydala zprávu s podrobnostmi o postižených fondech, metodě útoku a navrhovaném kompenzačním plánu.
Platformě, která funguje na sítích Layer2 zkSync a Linea, byly odcizeny všechny prostředky likvidity uživatelů. Hackeři poté převedli ukradené prostředky do hlavní sítě Ethereum pomocí křížového mostu. Prostředky byly poté přesunuty na adresu 0xe40 a ukryty pomocí protokolu Tornado mixer.
Data z datové platformy DeFi DefiLlama ukázala, že po útoku celková zamčená hodnota Velocore klesla z 10,16 milionu $ předchozího dne na 835 000 $, což je pokles o 92 %.
Tým Velocore v reakci na útok vydal zprávu o bezpečnostní kontrole. Zpráva identifikovala jako příčinu útoku zranitelnost kontraktu ve fondu CPMM ve stylu Balanceru. Zpráva podrobně popisuje stav zabezpečení různých fondů:
- Všechny fondy CPMM na Velocore v řetězcích Linea a zkSync Era byly ovlivněny.
- Stabilní bazén nebyl ovlivněn.
- Velocore v řetězci Telos měl stejný problém, ale tým ho řešil dříve, než mohl být zneužit.
- Bladeswap v řetězci Blast využívá jádro kontraktu Velocore, ale nebyl touto zranitelností kontraktu ovlivněn, protože místo fondu CPMM používá fond XYK.
Zpráva uváděla, že útočník nejprve získal finanční prostředky z protokolu Tornado mixer a splnil podmínky pro spuštění zranitelnosti smlouvy. Poté použili bleskovou půjčku k získání tokenů poskytovatele likvidity (LP) a většinu tokenů stáhli, čímž výrazně snížili velikost fondu likvidity. Útočník poté zneužil zranitelnost tokenové smlouvy k vyražení neobvykle velkého počtu LP tokenů, které byly použity ke splacení flash půjčky.
V reakci na útok tým Velocore uvedl, že aktivně sleduje hackera a pokouší se s ním vyjednávat v řetězci. Tým také uvedl, že odškodní postižené a pořídil snímek stavu bloku před útokem. Kompenzační plán však bude realizován až poté, co Velocore obnoví provoz.