损失超 1800 枚 ETH、流动性归零,Velocore 发生了什么?

动区动趋BlockTempo
2024-06-03 13:56:15
收藏
去中心化交易平台 Velocore 遭到黑客攻击,被窃取 1807 枚 ETH (约 688 万美元)

作者:动区动趋 BlockTempo

 

昨日,去中心化交易平台 Velocore 遭到黑客攻击,被窃取 1807 枚 ETH (约 688 万美元),事后 Velocore 公布报告,说明受影响的资金池、攻击手法以及后续的补偿计划。

部署在 Layer2 网路 zkSync 及 Linea 上的去中心化交易平台 Velocore 在昨(2)日遭到黑客攻击,损失达 1807 枚 ETH (约 688 万美元)。

链上分析师余烬表示,该平台上所有用户的流动性资金都被盗取,骇客随后将窃取的资金通过跨链桥转移至以太坊主网,并且将 ETH 全部转移到 0xe40 地址,并利用混币器协议 Tornado 将资金隐匿洗出。

另外,根据 DeFi 数据平台 DefiLlama 的数据显示, Velocore 遭到黑客攻击后,其总锁定价值从前一日的 1,016 万美元暴跌至 83.5 万美元,下跌幅度高达 92%。

合约漏洞导致

昨日, Velocore 团队针对本次骇客攻击事件发布了一份安全检讨报告。报告中指出,攻击的原因是 Balancer - style CPMM 池存在合约漏洞。报告详细列出了各个资金池的安全状况:

· Linea 和 zkSync Era 链上的 Velocore 中所有 CPMM 池均受到影响。

· 稳定池( stable pool )未受影响。

· Telos 链上的 Velocore 也存在同样的问题,但团队已经在问题被利用前进行了处理。

· Blast 链上的 Bladeswap 虽使用 Velocore 的核心合约,但由于 Bladeswap 采用的是 XYK 池而非 CPMM 池,故未受此次合约漏洞的影响。

恒定乘积做市商 CPMM 是 DeFi 流动性矿池早期采用的函数之一,函式算法: x * y = k 。其中 x 和 y 是池中资产的储存量, k 是一个不变的常数,该函式根据每个代币的可用数量 (流动性) 确定两种代币的价格范围,这代表著代币 X 的供应量增加,则代币 Y 的供应量减少以保持恒定值 k 。

又是闪电贷攻击?

根据报告显示,攻击者先从混币器协议 Tornado 获取资金,并将合约漏洞触发条件满足,接者利用闪电贷款获取流动性提供者( LP )代币,并提取了大部分代币,使流动性池的规模大幅缩小。随后,攻击者利用代币合约漏洞铸造了异常大量的 LP 代币,从而偿还了闪电贷款。

恢复运营才补偿用户

针对本次黑客攻击, Velocore 团队表示正在积极追查骇客,同时也尝试和黑客进行链上协商, Velocore 在链上向和黑客沟通讯息显示:

若黑客在 6 月 3 日下午 4 点钱归还剩余资金,团队愿意提供 10% 的白帽骇客赏金

不过目前黑客尚未对 Velocore 做出回应。

另一方面,团队还表示会对受影响人提供补偿,并快照了攻击事件发生前的区块状态,只不过补偿计划需要等待 Velocore 恢复运营后才会著手执行。

链捕手ChainCatcher提醒,请广大读者理性看待区块链,切实提高风险意识,警惕各类虚拟代币发行与炒作, 站内所有内容仅系市场信息或相关方观点,不构成任何形式投资建议。如发现站内内容含敏感信息,可点击“举报”,我们会及时处理。
ChainCatcher 与创新者共建Web3世界