原作者：ティン

元のソース: BlockTempo

昨日、分散型取引プラットフォーム Velocore がハッカーに攻撃され、1,807 ETH (約 688 万米ドル) が盗まれました。その後、Velocore は影響を受けた資金プール、攻撃手法、その後の補償計画について説明したレポートを発表しました。

レイヤ 2 ネットワーク zkSync および Linea 上に展開された分散型取引プラットフォームである Velocore は、昨日 (2) ハッカーによって攻撃され、1,807 ETH (約 688 万米ドル) の損失をもたらしました。

オンチェーンアナリストのユージン氏は、プラットフォーム上の全ユーザーの流動性資金が盗まれ、その後ハッカーはクロスチェーンブリッジを通じて盗まれた資金をイーサリアムのメインネットワークに転送し、すべてのETHを0x e 40アドレスに転送したと述べた。コインミキサープロトコルTornadoを使用して資金を隠し、流出させます。

さらに、DeFiデータプラットフォームDefiLlamaのデータによると、Velocoreがハッキングされた後、ロックされた総額は前日の1,016万ドルから83万5,000ドルに急落し、92％も下落した。

契約の抜け穴が引き起こす問題

昨日、Velocore チームはこのハッキング事件に関するセキュリティレビューレポートを発表しました。レポートでは、攻撃の原因はバランサー スタイルの CPMM プールのコントラクトの脆弱性であると述べています。レポートには、各資金プールのセキュリティ状況が詳しく記載されています。

• Linea および zkSync Era チェーン上の Velocore のすべての CPMM プールが影響を受けます。

• 安定したプールは影響を受けません。

• Telos チェーンの Velocore にも同じ問題がありますが、チームは悪用される前に対処しました。

• Blast チェーン上の Bladeswap は Velocore のコア コントラクトを使用しますが、Bladeswap は CPMM プールではなく XYK プールを使用するため、このコントラクトの脆弱性の影響を受けません。

コンスタントプロダクトマーケットメーカーCPMMは、DeFi流動性プールの初期に使用された関数の1つです。関数アルゴリズムはx*y=kです。ここで、x と y はプール内の資産の保管量、k は不変の定数、この関数は各トークンの利用可能な量 (流動性) に基づいて 2 つのトークンの価格範囲を決定します。これは、トークン X の供給量を表します。トークン Y が増加すると、一定値 k を維持するためにトークン Y の供給が減少します。

またフラッシュローン攻撃？

報告書によると、攻撃者はまず通貨ミキサープロトコルTornadoから資金を入手し、契約の脆弱性のトリガー条件を満たした後、フラッシュローンを利用して流動性プロバイダー（LP）トークンを取得し、トークンのほとんどを引き出して流動性を高めたという。セックスプールの割合は大幅に減少しました。その後、攻撃者はトークン コントラクトの脆弱性を悪用し、フラッシュ ローンを返済するために異常に大量の LP トークンを鋳造しました。

ユーザーへの補償は業務再開後のみとなります

このハッカー攻撃に対応して、Velocore チームはハッカーを積極的に追跡しており、ハッカーとのオンチェーン交渉も試みていると述べました。

ハッカーが 6 月 3 日午後 4 時に残りの資金を返還した場合、チームはホワイトハッカーの報奨金の 10% を提供する用意があります。

しかし、ハッカーたちはまだVelocoreに反応していない。

一方、チームは影響を受けた人々に補償を提供し、攻撃前のブロック状態のスナップショットを撮影するとも述べたが、補償計画はVelocoreが業務を再開するまで実施されない。