El Exchange descentralizado Velocore sufre un hackeo de ETH por valor de 6,88 millones de dólares

Según BlockBeats, Velocore, una plataforma de intercambio descentralizada, fue atacada por piratas informáticos que robaron 1807 ETH, equivalente a aproximadamente 6,88 millones de dólares. Tras el ataque, Velocore publicó un informe que detalla los fondos afectados, el método de ataque y un plan de compensación propuesto.

A la plataforma, que opera en las redes Layer2 zkSync y Linea, se le robaron todos los fondos de liquidez de los usuarios. Luego, los piratas informáticos transfirieron los fondos robados a la red principal de Ethereum a través de un puente entre cadenas. Luego, los fondos se trasladaron a la dirección 0xe40 y se ocultaron mediante el protocolo mezclador Tornado.

Los datos de la plataforma de datos DeFi DefiLlama mostraron que después del ataque, el valor total bloqueado de Velocore se desplomó de 10,16 millones de dólares el día anterior a 835.000 dólares, una caída del 92%.

El equipo de Velocore publicó un informe de revisión de seguridad en respuesta al ataque. El informe identificó una vulnerabilidad de contrato en el grupo CPMM estilo Balancer como la causa del ataque. El informe detalla el estado de seguridad de varios fondos:

- Todos los grupos de CPMM en Velocore en las cadenas Linea y zkSync Era se vieron afectados.

- La piscina del establo no se vio afectada.

- Velocore en la cadena Telos tuvo el mismo problema, pero el equipo lo solucionó antes de que pudiera ser explotado.

- Bladeswap en la cadena Blast usa el contrato central de Velocore, pero no se vio afectado por esta vulnerabilidad de contrato porque usa un grupo XYK en lugar de un grupo CPMM.

El informe indicó que el atacante obtuvo primero fondos del protocolo mezclador Tornado y cumplió las condiciones para activar la vulnerabilidad del contrato. Luego utilizaron un préstamo rápido para obtener tokens de proveedor de liquidez (LP) y retiraron la mayoría de los tokens, reduciendo significativamente el tamaño del fondo de liquidez. Luego, el atacante aprovechó una vulnerabilidad del contrato de token para acuñar una cantidad inusualmente grande de tokens LP, que se utilizaron para pagar el préstamo flash.

En respuesta al ataque, el equipo de Velocore declaró que están rastreando activamente al hacker e intentando negociar con él en la cadena. El equipo también afirmó que compensarían a los afectados y tomaron una instantánea del estado del bloque antes del ataque. Sin embargo, el plan de compensación solo se implementará después de que Velocore reanude sus operaciones.