摘要:原文作者:Ting原文来源:动区动趋 BlockTempo昨日,去中心化交易平台 Velocore 遭到黑客攻击,被窃取 1807 枚 ETH(约 688 万美元),事后 Velocore 公布报告,说明受影响的资金池、攻击手法以及后续的补偿计划。...
原文作者:Ting
原文来源:动区动趋 BlockTempo
昨日,分散交易平台 Velocore 被黑客入侵,被盗 1807 枚 ETH(约 688 万美元),以后 Velocore 公布报告,显示受影响的资金池、攻击技术和后续补偿计划。
部署在 Layer 2 网路 zkSync 及 Linea 去中心化交易平台 Velocore 昨日(2)遭到黑客攻击,损失达到 1807 枚 ETH(约 688 万美金)
链上分析师余晖表示,平台上所有用户的流动性资金都被盗。黑客将通过跨链桥将被盗资金转移到以太坊主网,并将 ETH 全部转移至 0x e 40 使用混币器协议的地址和地址 Tornado 隐匿资金洗出。
此外,根据 DeFi 数据平台 DefiLlama 数据显示,Velocore 被黑客攻击后,其总锁定价值从前一天开始 1, 016 万美元暴跌至 83.5 万美元的下跌幅度高达 92% 。
造成合同漏洞
昨日,Velocore 该团队发布了一份关于黑客攻击的安全审查报告。报告指出,攻击的原因是攻击的原因。 Balancer-style CPMM 池中存在合同漏洞。报告详细列出了各资金池的安全状况:
Linea 和 zkSync Era 链上的 Velocore 中所有 CPMM 平均水池受到影响。
平稳池(stable pool)未受影响。
Telos 链上的 Velocore 也有类似的问题,但是团队在使用问题之前就已经处理好了。
Blast 链上的 Bladeswap 虽使用 Velocore 关键合同,但因为 Bladeswap 使用的是 XYK 池而非 CPMM 池,因此不受本合同漏洞的影响。
稳定相乘的做市商 CPMM 是 DeFi 函式算法是流通性矿池初期选用的函数之一:x*y=k。其中 x 和 y 是池中的资产储存量,k 这是一个不变的常数,根据每个代币的可用数量,函式 ( 流通性 ) 确定两种代币的价格范围,这意味着代币 X 如果供应量增加,则代币供应量增加 Y 降低供应量以保持恒定值 k。
又是闪电贷攻击?
根据报告,攻击者首先从混币器协议开始 Tornado 获得资金,满足合同漏洞触发条件,接受者使用闪电贷款获得流通提供者(LP)代币,并提取了大部分代币,大大缩小了流通池的规模。随后,攻击者利用代币合同漏洞铸造了大量异常的代币 LP 代币,然后偿还闪电贷款。
只有恢复运营,才能补偿客户
针对黑客入侵,Velocore 该团队表示,他们正在积极追查黑客,并试图与黑客进行链上讨论,Velocore 链上与黑客沟通信息显示:
若黑客在 6 月 3 日下午 4 一些钱还剩下的钱,团队愿意提供 10 % 白帽黑客赏金
但目前黑客还不对 Velocore 做出回应。
另一方面,该团队还表示,它将为受影响的人提供补偿,并在攻击发生前快照块状态,但补偿计划需要等待 Velocore 恢复操作后才开始执行。