Potrivit BlockBeats, Velocore, o platformă de schimb descentralizată, a fost vizată de hackeri care au furat 1807 ETH, echivalentul a aproximativ 6,88 milioane de dolari. În urma atacului, Velocore a lansat un raport care detaliază fondurile afectate, metoda de atac și un plan de compensare propus.

Platforma, care operează pe rețelele Layer2 zkSync și Linea, a văzut toate fondurile de lichiditate ale utilizatorilor furate. Hackerii au transferat apoi fondurile furate pe rețeaua principală Ethereum printr-un pod cross-chain. Fondurile au fost apoi mutate la adresa 0xe40 și ascunse folosind protocolul de mixer Tornado.

Datele de la platforma de date DeFi DefiLlama au arătat că, în urma atacului, valoarea totală blocată a Velocore a scăzut de la 10,16 milioane USD în ziua precedentă la 835.000 USD, o scădere de 92%.

Echipa Velocore a lansat un raport de evaluare a securității ca răspuns la atac. Raportul a identificat o vulnerabilitate contractuală în pool-ul CPMM în stil Balancer drept cauza atacului. Raportul a detaliat starea de securitate a diferitelor fonduri:

- Toate pool-urile CPMM de pe Velocore din lanțurile Linea și zkSync Era au fost afectate.

- Bazinul stabil nu a fost afectat.

- Velocore de pe lanțul Telos a avut aceeași problemă, dar echipa a rezolvat-o înainte de a putea fi exploatată.

- Bladeswap pe lanțul Blast folosește contractul de bază al Velocore, dar nu a fost afectat de această vulnerabilitate a contractului, deoarece folosește un pool XYK în loc de un pool CPMM.

Raportul indica că atacatorul a obținut mai întâi fonduri din protocolul de mixer Tornado și a îndeplinit condițiile pentru a declanșa vulnerabilitatea contractului. Apoi au folosit un împrumut rapid pentru a obține jetoane de furnizor de lichiditate (LP) și au retras majoritatea jetoanelor, reducând semnificativ dimensiunea fondului de lichiditate. Atacatorul a exploatat apoi o vulnerabilitate a contractului de jetoane pentru a bate un număr neobișnuit de mare de jetoane LP, care au fost folosite pentru a rambursa împrumutul flash.

Ca răspuns la atac, echipa Velocore a declarat că urmărește activ hackerul și încearcă să negocieze cu ei în lanț. Echipa a declarat, de asemenea, că îi va despăgubi pe cei afectați și a făcut un instantaneu al stării de blocare înainte de atac. Cu toate acestea, planul de compensare va fi implementat numai după ce Velocore își va relua operațiunile.