Autor: BlockTempo
Ayer, la plataforma comercial descentralizada Velocore fue atacada por piratas informáticos y se robaron 1.807 ETH (aproximadamente 6,88 millones de dólares). Posteriormente, Velocore publicó un informe que describe el fondo común afectado, los métodos de ataque y el plan de compensación posterior.
Velocore, una plataforma comercial descentralizada implementada en la red de capa 2 zkSync y Linea, fue atacada por piratas informáticos ayer (segundo), lo que resultó en una pérdida de 1.807 ETH (aproximadamente 6,88 millones de dólares).
El analista en cadena Yu Jin dijo que los fondos de liquidez de todos los usuarios de la plataforma fueron robados. Luego, los piratas informáticos transfirieron los fondos robados a la red principal de Ethereum a través de un puente entre cadenas, transfirieron todo el ETH a la dirección 0xe40 y lo utilizaron. Confusión. El protocolo de herramienta monetaria Tornado lava los fondos de forma oculta.
Además, según datos de la plataforma de datos DeFi DefiLlama, después de que Velocore fuera pirateado, su valor total bloqueado se desplomó a 835.000 dólares desde los 10,16 millones de dólares del día anterior, una caída del 92%.
Las lagunas contractuales conducen a
Ayer, el equipo de Velocore publicó un informe de revisión de seguridad sobre este ataque de piratas informáticos. El informe indicó que la causa del ataque fue una vulnerabilidad de contrato en el grupo CPMM estilo Balancer. El informe detalla el estado de seguridad de cada grupo:
· Todos los grupos CPMM en Velocore en cadenas Linea y zkSync Era se ven afectados.
· La piscina del establo no se ve afectada.
· El mismo problema existe con Velocore en la cadena Telos, pero el equipo lo solucionó antes de que pueda ser explotado.
· Aunque Bladeswap en la cadena Blast usa el contrato central de Velocore, debido a que Bladeswap usa el grupo XYK en lugar del grupo CPMM, no se ve afectado por esta vulnerabilidad de contrato.
El creador de mercado de productos constante CPMM es una de las funciones adoptadas por los fondos de liquidez de DeFi en los primeros días. El algoritmo de la función es: x * y = k. donde xey son las cantidades de almacenamiento de activos en el grupo, k es una constante inmutable y esta función determina el rango de precios de dos tokens en función de la cantidad disponible (liquidez) de cada token, que representa el token X como el suministro de El token Y aumenta, la oferta del token Y disminuye para mantener un valor constante k.
¿Otro ataque de préstamos urgentes?
Según el informe, el atacante primero obtuvo fondos del protocolo de mezcla de divisas Tornado y cumplió con las condiciones desencadenantes de vulnerabilidad del contrato. Luego, el atacante utilizó préstamos rápidos para obtener tokens de proveedor de liquidez (LP) y retiró la mayoría de los tokens, haciendo que la liquidez fuera del tamaño. del grupo de sexos se ha reducido significativamente. Luego, el atacante aprovechó una vulnerabilidad del contrato de token para acuñar una cantidad inusualmente grande de tokens LP para pagar el préstamo rápido.
Los usuarios serán compensados sólo después de que se reanuden las operaciones.
En respuesta a este ataque de piratas informáticos, el equipo de Velocore declaró que está rastreando activamente al pirata informático y también está tratando de negociar con el pirata informático en la cadena. El mensaje de comunicación en cadena de Velocore con el pirata informático muestra:
Si el hacker devuelve los fondos restantes a las 4 p. m. del 3 de junio, el equipo está dispuesto a proporcionar el 10 % de la recompensa del hacker de sombrero blanco.
Sin embargo, los piratas informáticos aún no han respondido a Velocore.
Por otro lado, el equipo también afirmó que proporcionaría una compensación a los afectados y tomó una instantánea del estado del bloque antes del ataque. Sin embargo, el plan de compensación no se implementará hasta que Velocore reanude sus operaciones.