原文作者：Ting

原文來源： 動區動趨BlockTempo

昨日，去中心化交易平台Velocore 遭到駭客攻擊，被竊取1807 枚ETH（約688 萬美元），事後Velocore 公佈報告，說明受影響的資金池、攻擊手法以及後續的補償計劃。

部署在Layer 2 網路zkSync 及Linea 上的去中心化交易平台Velocore 在昨（2）日遭到駭客攻擊，損失達1807 枚ETH（約688 萬美元）

鏈上分析師餘燼表示，該平台上所有用戶的流動性資金都被盜取，駭客隨後將竊取的資金通過跨鏈橋轉移至以太坊主網，並將ETH 全部轉移到0x e 40 地址，並利用混幣器協議Tornado 將資金隱匿洗出。

另外，根據DeFi 數據平台DefiLlama 的數據顯示，Velocore 遭到駭客攻擊後，其總鎖定價值從前一日的1, 016 萬美元暴跌至83.5 萬美元，下跌幅度高達92% 。

合約漏洞導致

昨日，Velocore 團隊針對這次駭客攻擊事件發布了一份安全檢討報告。報告中指出，攻擊的原因是Balancer-style CPMM 池存在合約漏洞。報告詳細列出了各個資金池的安全狀況：

• Linea 和zkSync Era 鏈上的Velocore 中所有CPMM 池均受到影響。

• 穩定池（stable pool）未受影響。

• Telos 鏈上的Velocore 也存在同樣的問題，但團隊已經在問題被利用前進行了處理。

• Blast 鏈上的Bladeswap 雖使用Velocore 的核心合約，但由於Bladeswap 採用的是XYK 池而非CPMM 池，故未受此合約漏洞的影響。

恆定乘積做市商CPMM 是DeFi 流動性礦池早期採用的函數之一，函數演算法：x*y=k。其中x 和y 是池中資產的儲存量，k 是一個不變的常數，該函數根據每個代幣的可用數量( 流動性) 確定兩種代幣的價格範圍，這代表著代幣X的供應量增加，則代幣Y 的供應量減少以保持恆定值k。

又是閃電貸攻擊？

根據報告顯示，攻擊者先從混幣器協議Tornado 獲取資金，並將合約漏洞觸發條件滿足，接者利用閃電貸款獲取流動性提供者（LP）代幣，並提取了大部分代幣，使流動性池的規模大幅縮減。隨後，攻擊者利用代幣合約漏洞鑄造了異常大量的LP 代幣，從而償還了閃電貸款。

恢復營運才補償用戶

針對本次駭客攻擊，Velocore 團隊表示正在積極追查駭客，同時也嘗試和駭客進行鏈上協商，Velocore 在鏈上向和駭客溝通訊息顯示：

若駭客在6 月3 日下午4 點錢歸還剩餘資金，團隊願意提供10 ％ 的白帽駭客賞金

不過目前駭客尚未對Velocore 做出回應。

另一方面，團隊也表示會對受影響人提供補償，並快照了攻擊事件發生前的區塊狀態，只不過補償計劃需要等待Velocore 恢復運作後才會著手執行。