Tác giả gốc: Ting

Nguồn gốc: BlockTempo

Hôm qua, nền tảng giao dịch phi tập trung Velocore đã bị tin tặc tấn công và 1.807 ETH (khoảng 6,88 triệu USD) đã bị đánh cắp. Sau đó, Velocore đã công bố một báo cáo mô tả nhóm quỹ bị ảnh hưởng, kỹ thuật tấn công và kế hoạch bồi thường sau đó.

Velocore, một nền tảng giao dịch phi tập trung được triển khai trên mạng Lớp 2 zkSync và Linea, đã bị tin tặc tấn công vào ngày hôm qua (2), dẫn đến mất 1.807 ETH (khoảng 6,88 triệu USD)

Nhà phân tích on-chain Yu Jin cho biết quỹ thanh khoản của tất cả người dùng trên nền tảng đã bị đánh cắp. Sau đó, tin tặc chuyển số tiền bị đánh cắp sang mạng chính Ethereum thông qua cầu nối chuỗi và chuyển tất cả ETH đến địa chỉ 0x e 40. và Sử dụng giao thức trộn tiền xu Tornado để ẩn và rửa sạch tiền.

Ngoài ra, theo dữ liệu từ nền tảng dữ liệu DeFi DefiLlama, sau khi Velocore bị hack, tổng giá trị khóa của nó đã giảm mạnh xuống còn 835.000 USD từ mức 10,16 triệu USD ngày hôm trước, giảm tới 92%.

Lỗ hổng hợp đồng dẫn đến

Hôm qua, nhóm Velocore đã công bố báo cáo đánh giá bảo mật về vụ hack này. Báo cáo nêu rõ nguyên nhân của cuộc tấn công là do lỗ hổng hợp đồng trong nhóm CPMM kiểu Balancer. Báo cáo nêu chi tiết trạng thái bảo mật của từng nhóm:

• Tất cả các nhóm CPMM trong Velocore trên chuỗi Linea và zkSync Era đều bị ảnh hưởng.

• Hồ bơi ổn định không bị ảnh hưởng.

• Velocore trên chuỗi Telos cũng gặp vấn đề tương tự nhưng nhóm đã xử lý trước khi có thể khai thác.

• Mặc dù Bladeswap trên chuỗi Blast sử dụng hợp đồng cốt lõi của Velocore, nhưng vì Bladeswap sử dụng nhóm XYK thay vì nhóm CPMM nên nó không bị ảnh hưởng bởi lỗ hổng hợp đồng này.

Nhà tạo lập thị trường sản phẩm không đổi CPMM là một trong những chức năng được sử dụng trong những ngày đầu của nhóm thanh khoản DeFi. Thuật toán chức năng là: x*y=k. trong đó x và y là lượng tài sản lưu trữ trong nhóm, k là hằng số bất biến và hàm này xác định phạm vi giá của hai mã thông báo dựa trên số lượng (thanh khoản) có sẵn của mỗi mã thông báo, đại diện cho mã thông báo X Là nguồn cung cấp mã thông báo Y tăng, nguồn cung cấp mã thông báo Y giảm để duy trì giá trị k không đổi.

Một cuộc tấn công cho vay chớp nhoáng khác?

Theo báo cáo, kẻ tấn công lần đầu tiên nhận được tiền từ giao thức trộn tiền tệ Tornado và đáp ứng các điều kiện kích hoạt lỗ hổng hợp đồng, sau đó sử dụng các khoản vay nhanh để nhận mã thông báo của nhà cung cấp thanh khoản (LP) và rút hầu hết các mã thông báo, khiến tính thanh khoản trở nên lớn hơn. của nhóm tình dục đã bị thu hẹp đáng kể. Sau đó, kẻ tấn công đã khai thác lỗ hổng trong hợp đồng token để đúc một lượng token LP lớn bất thường nhằm hoàn trả khoản vay nhanh.

Người dùng sẽ chỉ được bồi thường sau khi hoạt động được tiếp tục

Để đối phó với cuộc tấn công của hacker này, nhóm Velocore tuyên bố rằng họ đang tích cực truy tìm hacker và cũng đang cố gắng đàm phán với hacker trên chuỗi thông báo liên lạc trên chuỗi của Velocore với hacker cho thấy:

Nếu hacker trả lại số tiền còn lại vào lúc 4h chiều ngày 3/6, nhóm sẵn sàng cung cấp 10% tiền thưởng cho hacker mũ trắng

Tuy nhiên, các hacker vẫn chưa có phản hồi với Velocore.

Mặt khác, nhóm cũng tuyên bố sẽ bồi thường cho những người bị ảnh hưởng và chụp nhanh trạng thái khối trước cuộc tấn công. Tuy nhiên, kế hoạch bồi thường sẽ không được thực hiện cho đến khi Velocore hoạt động trở lại.