简要分析Velocore黑客攻击事件:ETH损失688万美元,用户流动性为零

ETH 事件 归零 损失 攻击 2024-06-03 44

摘要:原文作者:Ting原文来源:动区动趋 BlockTempo昨日,去中心化交易平台 Velocore 遭到黑客攻击,被窃取 1807 枚 ETH(约 688 万美元),事后 Velocore 公布报告,说明受影响的资金池、攻击手法以及后续的补偿计划。...

原文作者:Ting

原文来源:动区动趋 BlockTempo

昨日,分散交易平台 Velocore 被黑客入侵,被盗 1807 枚 ETH(约 688 万美元),以后 Velocore 公布报告,显示受影响的资金池、攻击技术和后续补偿计划。

部署在 Layer 2 网路 zkSync 及 Linea 去中心化交易平台 Velocore 昨日(2)遭到黑客攻击,损失达到 1807 枚 ETH(约 688 万美金)

链上分析师余晖表示,平台上所有用户的流动性资金都被盗。黑客将通过跨链桥将被盗资金转移到以太坊主网,并将 ETH 全部转移至 0x e 40 使用混币器协议的地址和地址 Tornado 隐匿资金洗出。

此外,根据 DeFi 数据平台 DefiLlama 数据显示,Velocore 被黑客攻击后,其总锁定价值从前一天开始 1, 016 万美元暴跌至 83.5 万美元的下跌幅度高达 92% 。

简要分析Velocore黑客攻击事件:ETH损失688万美元,用户流动性为零

造成合同漏洞

昨日,Velocore 该团队发布了一份关于黑客攻击的安全审查报告。报告指出,攻击的原因是攻击的原因。 Balancer-style CPMM 池中存在合同漏洞。报告详细列出了各资金池的安全状况:

  • Linea 和 zkSync Era 链上的 Velocore 中所有 CPMM 平均水池受到影响。

  • 平稳池(stable pool)未受影响。

  • Telos 链上的 Velocore 也有类似的问题,但是团队在使用问题之前就已经处理好了。

  • Blast 链上的 Bladeswap 虽使用 Velocore 关键合同,但因为 Bladeswap 使用的是 XYK 池而非 CPMM 池,因此不受本合同漏洞的影响。

    稳定相乘的做市商 CPMM 是 DeFi 函式算法是流通性矿池初期选用的函数之一:x*y=k。其中 x 和 y 是池中的资产储存量,k 这是一个不变的常数,根据每个代币的可用数量,函式 ( 流通性 ) 确定两种代币的价格范围,这意味着代币 X 如果供应量增加,则代币供应量增加 Y 降低供应量以保持恒定值 k。

    又是闪电贷攻击?

    根据报告,攻击者首先从混币器协议开始 Tornado 获得资金,满足合同漏洞触发条件,接受者使用闪电贷款获得流通提供者(LP)代币,并提取了大部分代币,大大缩小了流通池的规模。随后,攻击者利用代币合同漏洞铸造了大量异常的代币 LP 代币,然后偿还闪电贷款。

    只有恢复运营,才能补偿客户

    针对黑客入侵,Velocore 该团队表示,他们正在积极追查黑客,并试图与黑客进行链上讨论,Velocore 链上与黑客沟通信息显示:

    若黑客在 6 月 3 日下午 4 一些钱还剩下的钱,团队愿意提供 10 % 白帽黑客赏金

    但目前黑客还不对 Velocore 做出回应。

    另一方面,该团队还表示,它将为受影响的人提供补偿,并在攻击发生前快照块状态,但补偿计划需要等待 Velocore 恢复操作后才开始执行。

    相关推荐