Dezentrale Börse Velocore erleidet ETH-Hack im Wert von 6,88 Millionen US-Dollar

Laut BlockBeats wurde Velocore, eine dezentrale Austauschplattform, von Hackern angegriffen, die 1807 ETH stahlen, was etwa 6,88 Millionen Dollar entspricht. Nach dem Angriff veröffentlichte Velocore einen Bericht mit Einzelheiten zu den betroffenen Geldern, der Angriffsmethode und einem vorgeschlagenen Entschädigungsplan.

Der Plattform, die auf den Layer2-Netzwerken zkSync und Linea läuft, wurden sämtliche Liquiditätsgelder der Benutzer gestohlen. Anschließend übertrugen die Hacker die gestohlenen Gelder über eine Cross-Chain-Brücke auf das Ethereum-Mainnet. Die Gelder wurden dann an die Adresse 0xe40 verschoben und mithilfe des Tornado-Mixer-Protokolls verborgen.

Daten der DeFi-Datenplattform DefiLlama zeigten, dass der gesamte gesperrte Wert von Velocore nach dem Angriff von 10,16 Millionen Dollar am Vortag auf 835.000 Dollar sank, ein Rückgang von 92 Prozent.

Als Reaktion auf den Angriff veröffentlichte das Velocore-Team einen Sicherheitsüberprüfungsbericht. Der Bericht identifizierte eine Vertragsschwachstelle im CPMM-Pool im Balancer-Stil als Ursache des Angriffs. Der Bericht enthielt detaillierte Angaben zum Sicherheitsstatus verschiedener Fonds:

– Alle CPMM-Pools auf Velocore in den Linea- und zkSync Era-Ketten waren betroffen.

- Der stabile Pool war nicht betroffen.

– Velocore auf der Telos-Kette hatte das gleiche Problem, aber das Team hat es behoben, bevor es ausgenutzt werden konnte.

– Bladeswap in der Blast-Kette verwendet den Kernvertrag von Velocore, war aber von dieser Vertragsschwachstelle nicht betroffen, da es einen XYK-Pool anstelle eines CPMM-Pools verwendet.

Der Bericht gab an, dass der Angreifer zunächst Mittel aus dem Tornado-Mixer-Protokoll erhielt und die Bedingungen zum Auslösen der Vertragsschwachstelle erfüllte. Anschließend nutzte er einen Blitzkredit, um Liquiditätsanbieter-Token (LP-Token) zu erhalten, und zog die meisten Token ab, wodurch die Größe des Liquiditätspools erheblich reduziert wurde. Der Angreifer nutzte dann eine Schwachstelle im Token-Vertrag aus, um eine ungewöhnlich große Anzahl von LP-Token zu prägen, die zur Rückzahlung des Blitzkredits verwendet wurden.

Als Reaktion auf den Angriff erklärte das Velocore-Team, dass es den Hacker aktiv verfolgt und versucht, mit ihm on-chain zu verhandeln. Das Team erklärte auch, dass es die Betroffenen entschädigen werde und einen Snapshot des Blockzustands vor dem Angriff erstellt habe. Der Entschädigungsplan wird jedoch erst umgesetzt, wenn Velocore den Betrieb wieder aufnimmt.