据 BlockBeats 报道,去中心化交易所平台 Velocore 成为黑客攻击的目标,黑客窃取了 1807 个 ETH,相当于约 688 万美元。攻击发生后,Velocore 发布了一份报告,详细说明了受影响的资金、攻击方法和拟议的赔偿计划。
该平台在 Layer2 网络 zkSync 和 Linea 上运行,所有用户的流动资金都被盗了。黑客随后通过跨链桥将被盗资金转移到以太坊主网。这些资金随后被转移到 0xe40 地址,并使用龙卷风混频器协议隐藏起来。
DeFi 数据平台 DefiLlama 的数据显示,攻击发生后,Velocore 的总锁定值从前一天的 1016 万美元骤降至 83.5 万美元,降幅高达 92%。
Velocore 团队针对此次攻击发布了一份安全审查报告。报告指出,Balancer 式 CPMM 池中的合同漏洞是此次攻击的原因。报告详细说明了各种基金的安全状况:
- Velocore 在 Linea 和 zkSync Era 链上的所有 CPMM 池均受到影响。
- 稳定池未受影响。
- Telos 链上的 Velocore 也出现了同样的问题,但团队在漏洞被利用之前就解决了这个问题。
- Blast 链上的 Bladeswap 使用 Velocore 的核心合约,但由于使用的是 XYK 池而不是 CPMM 池,因此不受此合约漏洞的影响。
报告指出,攻击者首先从 Tornado 混合器协议中获得资金,并满足了触发合约漏洞的条件。然后,他们使用闪贷获得流动性提供者(LP)代币,并提取了大部分代币,大大减少了流动性池的规模。攻击者随后利用代币合约漏洞铸造了异常大量的 LP 代币,用于偿还闪贷。
针对此次攻击,Velocore 团队表示,他们正在积极追踪黑客,并试图与他们进行链上谈判。该团队还表示,他们将对受影响的用户进行补偿,并对攻击前的区块状态进行了快照。不过,赔偿计划只有在 Velocore 恢复运营后才能实施。