Secondo BlockBeats, Velocore, una piattaforma di scambio decentralizzata, è stata presa di mira da hacker che hanno rubato 1807 ETH, equivalenti a circa 6,88 milioni di dollari. Dopo l'attacco, Velocore ha pubblicato un rapporto che descrive in dettaglio i fondi interessati, il metodo dell'attacco e una proposta di piano di compensazione.

La piattaforma, che opera sulle reti Layer2 zkSync e Linea, ha subito il furto di tutti i fondi di liquidità degli utenti. Gli hacker hanno poi trasferito i fondi rubati sulla rete principale di Ethereum tramite un cross-chain bridge. I fondi sono stati poi spostati all'indirizzo 0xe40 e nascosti utilizzando il protocollo Tornado Mixer.

I dati della piattaforma dati DeFi DefiLlama hanno mostrato che in seguito all’attacco, il valore totale bloccato di Velocore è crollato da 10,16 milioni di dollari del giorno precedente a 835.000 dollari, un calo del 92%.

Il team Velocore ha rilasciato un rapporto di revisione della sicurezza in risposta all'attacco. Il rapporto ha identificato come causa dell’attacco una vulnerabilità del contratto nel pool CPMM in stile Balancer. Il rapporto descrive dettagliatamente lo stato di sicurezza di vari fondi:

- Sono stati interessati tutti i pool CPMM su Velocore sulle catene Linea e zkSync Era.

- La piscina delle stalle non è stata interessata.

- Velocore sulla catena Telos presentava lo stesso problema, ma il team lo ha risolto prima che potesse essere sfruttato.

- Bladeswap sulla catena Blast utilizza il contratto principale di Velocore, ma non è stato interessato da questa vulnerabilità del contratto perché utilizza un pool XYK invece di un pool CPMM.

Il rapporto indicava che l'aggressore aveva prima ottenuto fondi dal protocollo Tornado Mixer e soddisfaceva le condizioni per attivare la vulnerabilità del contratto. Hanno quindi utilizzato un prestito lampo per ottenere token Liquidity Provider (LP) e hanno ritirato la maggior parte dei token, riducendo significativamente le dimensioni del pool di liquidità. L’aggressore ha poi sfruttato una vulnerabilità del contratto token per coniare un numero insolitamente elevato di token LP, che sono stati utilizzati per ripagare il prestito flash.

In risposta all’attacco, il team Velocore ha dichiarato che stanno monitorando attivamente l’hacker e tentando di negoziare con lui on-chain. Il team ha inoltre dichiarato che avrebbe risarcito le persone colpite e che avrebbe scattato un'istantanea dello stato del blocco prima dell'attacco. Tuttavia, il piano di compensazione sarà implementato solo dopo che Velocore avrà ripreso le operazioni.