Децентралізована біржа Velocore зазнала зламу ETH на 6,88 мільйона доларів

За даними BlockBeats, Velocore, децентралізована обмінна платформа, стала мішенню хакерів, які вкрали 1807 ETH, що еквівалентно приблизно 6,88 мільйонам доларів. Після атаки Velocore опублікував звіт із детальним описом постраждалих коштів, методу атаки та запропонованого плану компенсації.

На платформі, яка працює в мережах Layer2 zkSync і Linea, були викрадені всі ліквідні кошти користувачів. Потім хакери перевели вкрадені кошти в основну мережу Ethereum через перехресний міст. Потім кошти були переміщені на адресу 0xe40 і приховані за допомогою протоколу змішувача Tornado.

Дані з платформи даних DeFi DefiLlama показали, що після атаки загальна заблокована вартість Velocore різко впала з 10,16 мільйонів доларів минулого дня до 835 000 доларів, падіння на 92%.

Команда Velocore опублікувала звіт про перевірку безпеки у відповідь на атаку. Причиною атаки у звіті визначено вразливість контракту в пулі CPMM у стилі Balancer. У звіті детально описано стан безпеки різних фондів:

- Усі пули CPMM на Velocore в ланцюгах Linea та zkSync Era були вражені.

- Стабільний басейн не постраждав.

- У Velocore в мережі Telos була та сама проблема, але команда вирішила її, перш ніж її можна було використати.

- Bladeswap у ланцюжку Blast використовує основний контракт Velocore, але на нього не вплинула ця уразливість контракту, оскільки він використовує пул XYK замість пулу CPMM.

У звіті зазначено, що зловмисник спочатку отримав кошти від протоколу змішувача Tornado та виконав умови для запуску вразливості контракту. Потім вони використали флеш-позику для отримання токенів постачальника ліквідності (LP) і вилучили більшість токенів, значно зменшивши розмір пулу ліквідності. Потім зловмисник використав уразливість контракту токенів, щоб викарбувати надзвичайно велику кількість токенів LP, які були використані для погашення флеш-кредиту.

У відповідь на атаку команда Velocore заявила, що вони активно стежать за хакером і намагаються домовитися з ним у мережі. Команда також заявила, що виплатить компенсацію тим, хто постраждав, і зробила знімок стану блокування перед атакою. Однак компенсаційний план буде реалізований лише після відновлення роботи Velocore.