Автор: BlockTempo

 

Вчера децентрализованная торговая платформа Velocore подверглась атаке хакера, в результате чего было украдено 1807 ETH (около 6,88 миллиона долларов США). После этого Velocore опубликовал отчет с описанием пострадавшего пула средств, методов атаки и последующего плана компенсации.

Velocore, децентрализованная торговая платформа, развернутая в сети второго уровня zkSync и Linea, вчера (второе место) подверглась атаке хакеров, что привело к потере 1807 ETH (приблизительно 6,88 миллиона долларов США).

Он-чейн-аналитик Ю Джин заявил, что средства ликвидности всех пользователей платформы были украдены. Затем хакеры перевели украденные средства в основную сеть Ethereum через межцепочный мост, перевели все ETH на адрес 0xe40 и использовали. путаница. Протокол валютного инструмента Торнадо вымывает средства скрытым образом.

Кроме того, согласно данным платформы данных DeFi DefiLlama, после взлома Velocore его общая заблокированная стоимость упала до $835 000 с $10,16 млн в предыдущий день, то есть на 92%.

Лазейки в контрактах приводят к

Вчера команда Velocore опубликовала отчет о проверке безопасности по этому инциденту взлома. В отчете говорится, что причиной атаки стала уязвимость контракта в пуле CPMM в стиле Balancer. В отчете подробно описывается статус безопасности каждого пула фондов:

· Затронуты все пулы CPMM в Velocore в цепочках Linea и zkSync Era.

· Стабильный пул не затронут.

· Та же проблема существует с Velocore в цепочке Telos, но команда справилась с ней до того, как ее можно было использовать.

· Хотя Bladeswap в цепочке Blast использует основной контракт Velocore, поскольку Bladeswap использует пул XYK вместо пула CPMM, на него не влияет эта уязвимость контракта.

Маркет-мейкер постоянного продукта CPMM — это одна из функций, принятых пулами ликвидности DeFi на заре. Алгоритм функции: x * y = k. где x и y — объемы хранения активов в пуле, k — неизменяемая константа, и эта функция определяет диапазон цен двух токенов на основе доступного количества (ликвидности) каждого токена, который представляет токен X как предложение токен Y увеличивается, предложение токена Y уменьшается для поддержания постоянного значения k.

Очередная атака на флэш-кредиты?

Согласно отчету, злоумышленник сначала получил средства из протокола валютного микшера Tornado и выполнил условия срабатывания уязвимости контракта. Затем злоумышленник использовал быстрые кредиты для получения токенов поставщика ликвидности (LP) и вывел большую часть токенов, увеличив размер ликвидности. полового пула значительно сократился. Затем злоумышленник воспользовался уязвимостью контракта токенов, чтобы создать необычно большое количество токенов LP для погашения флэш-кредита.

Пользователи получат компенсацию только после возобновления работы.

В ответ на эту хакерскую атаку команда Velocore заявила, что она активно выслеживает хакера, а также пытается договориться с хакером в цепочке. Сообщение внутрицепной связи Velocore с хакером показывает:

Если хакер вернет оставшиеся средства в 16:00 3 июня, команда готова предоставить 10% от вознаграждения хакера в белой шляпе.

Однако хакеры пока не ответили Velocore.

С другой стороны, команда также заявила, что предоставит компенсацию пострадавшим, и сделала снимок состояния блока перед атакой. Однако план компенсации не будет реализован до тех пор, пока Velocore не возобновит работу.