Według BlockBeats zdecentralizowana platforma wymiany Velocore stała się celem hakerów, którzy ukradli 1807 ETH, co stanowi równowartość około 6,88 miliona dolarów. Po ataku firma Velocore opublikowała raport zawierający szczegółowe informacje na temat funduszy, których dotyczy atak, metody ataku i proponowanego planu rekompensat.

Na platformie działającej w sieciach warstwy 2 zkSync i Linea doszło do kradzieży wszystkich środków płynnościowych użytkowników. Następnie hakerzy przekazali skradzione środki do sieci głównej Ethereum za pośrednictwem mostu krzyżowego. Fundusze zostały następnie przeniesione na adres 0xe40 i ukryte przy użyciu protokołu miksera Tornado.

Dane z platformy danych DeFi DefiLlama wykazały, że po ataku całkowita zablokowana wartość Velocore spadła z 10,16 mln dolarów poprzedniego dnia do 835 000 dolarów, co oznacza spadek o 92%.

W odpowiedzi na atak zespół Velocore opublikował raport z przeglądu bezpieczeństwa. W raporcie jako przyczynę ataku wskazano lukę w umowie w puli CPMM typu Balancer. W raporcie szczegółowo opisano stan bezpieczeństwa różnych funduszy:

- Dotyczy to wszystkich pul CPMM w Velocore w łańcuchach Linea i ZkSync Era.

- Stabilny basen nie został naruszony.

- Ten sam problem dotyczył Velocore w łańcuchu Telos, ale zespół zajął się nim, zanim można było go wykorzystać.

— Bladeswap w łańcuchu Blast korzysta z podstawowej umowy Velocore, ale ta luka w zabezpieczeniach umowy nie ma na nią wpływu, ponieważ wykorzystuje pulę XYK zamiast puli CPMM.

Z raportu wynika, że ​​atakujący najpierw pozyskał środki z protokołu miksera Tornado i spełnił warunki umożliwiające wyzwolenie luki w umowie. Następnie skorzystali z pożyczki flash, aby uzyskać tokeny dostawcy płynności (LP) i wycofali większość tokenów, znacznie zmniejszając wielkość puli płynności. Następnie osoba atakująca wykorzystała lukę w zabezpieczeniach umowy tokenowej, aby wybić niezwykle dużą liczbę tokenów LP, które zostały wykorzystane do spłaty pożyczki flash.

W odpowiedzi na atak zespół Velocore oświadczył, że aktywnie śledzi hakera i próbuje z nim negocjować za pośrednictwem łańcucha. Zespół oświadczył również, że zrekompensuje straty poszkodowanym i wykonał migawkę stanu bloku przed atakiem. Jednakże plan wynagrodzeń zostanie wdrożony dopiero po wznowieniu działalności Velocore.